Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

securityとFirefoxに関するmyrmecoleonのブックマーク (5)

  • Greasemonkey スクリプトは安全ではありません

    ■ Greasemonkey スクリプトは安全ではありません Webアプリケーションセキュリティフォーラム の奥さんと高木先生のバトルより。 高木先生 ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。 Greasemonkey には超絶便利な GM_xmlhttpRequest があるので、どのウェブサイト上でスクリプトを動かそうが、あらゆるサイトにアクセスする事が可能です。この観点から考えると、クッキーが漏洩するどころの騒ぎではありませんし、スクリプトを有効にするドメインが限られていた所で大した意味はありません。例えば Google Search を便利にするようなスクリプトに、mixi のパスワードを任意の値に変更させるようなトロイを仕込む事も難しくないでしょう(実際に作って試しました*1)。もちろん対象サイト上に、XSS や CSRF の脆弱性がなく

    myrmecoleon
    myrmecoleon 2007/07/11
    この手の問題はどのツールでもあるわけで。「自分でソースor挙動を確認する」>「信頼できる人の評価を確認してから使う」>「みんなが使ってるから使う」かな。
  • Firefoxに産地偽装の脆弱性が発覚

    米Mojilla Foundationは、WebブラウザのFirefoxに産地偽装の脆弱性が見つかったと公表した。該当の範囲は不明。 今回見つかった脆弱性は、従来より指摘されていた「中止ボタンがしいたけに見える」という脆弱性のうち、何割かに産地偽装の疑いがあるというもの。Mojilla Foundationでは「消費者のみなさんにご迷惑をお掛けして申し訳ない。該当の中止ボタンはすみやかに廃棄処分にする。被害者には誠心誠意対応したい」とコメントしているが、何がどう問題なのか、当の産地はどこなのか、どんな被害があったのかは一切不明。 パッチ類は現時点までに提供されていないが、編集部ではアドオン「中止ボタンがしいたけに見えて困る」をインストールすることで、国産のしいたけに置換できることを確認した。

    myrmecoleon
    myrmecoleon 2007/04/01
    うっかりしいたけパッチ導入してしまいました
  • http://d.hatena.ne.jp/cruel/20061203

    myrmecoleon
    myrmecoleon 2007/02/07
    aguseのFirefox2プラグインを公開している人が。
  • [重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (ひぐまのひまグ)

    当ひまグで昨年10月5日頃より公開していたFirefoxの拡張機能Sageの私製改造版「Sage++ (Higmmer's Edition)」(現在公開自粛中。以下、Sage++と称す)に関連し、去る2007年1月18日に以下のエントリを公表致しました。 フレッシュリーダーの脆弱性に関連してSage++のこと 上記エントリについて、様々な方よりご批判、お叱りの声を頂いております。つきましては、ユーザーの方々、第一発見者及びJPCERT/CCの関係者の方々、並びに多くの皆様にご心配ご迷惑をおかけしていることに対して深くお詫び申し上げます。誠に申し訳ありません。 何を申し上げても見苦しい言い訳との謗りは免れないものと存じますが、この際、今後の対応方針及び上記エントリの公表に至った経緯、並びにSage/Sage++の危険性に関して説明させて頂きたく存じます。 1. 今後の対応方針について 今回の

  • 最速インターフェース研究会 :: Firefoxの拡張MozLabの中に含まれるMozReplがヤバすぎる件について

    MozLabという拡張を昨日知ったのですが http://dev.hyperstruct.net/trac/mozlab この中に含まれているMozReplというのがヤバい。Firefoxにtelnet接続できるようになる。 とりあえずRubyで書いた簡単なサンプル、今見ているページをリロードするだけ。 require 'net/telnet' telnet = Net::Telnet.new({ "Host" => "localhost", "Port" => 4242 }){|c| print c} telnet.puts("content.location.reload(true)") telnet.close ひたすら自分が見ているURLとページタイトルを記録する系とか簡単に作れそう。 今見ているページのURLとタイトルを取得するサンプル。 require 'net/telnet'

    myrmecoleon
    myrmecoleon 2006/09/28
    なんかいろいろできそうな予感。
  • 1