2007-08-01から1ヶ月間の記事一覧

IEにおいて剣呑なオブジェクト

IEのエンジンのexternalオブジェクト、とりわけ、そのmenuArgumentsプロパティ、なのですが、これ、evliなサイトのヒトが簡単に悪用できちゃうと非常に困るようですね。普通の理解ですと、レジストリへの登録がないと生きてきませんから、たいがい大丈夫なは…

なくてもよい腱

おちゃめな手術 あなたは事故にあったとします。なにやら腱が損傷。外科手術が必要です。以下はお茶目なお医者さんのオハナシ。まずお医者さんは、全身麻酔で意識不明のあなたのケガの部分を切開します。「よーし、開いたぞ。レントゲンどおりだ。一本がぼろ…

FireFoxのポリシーマネージャ

http://piro.sakura.ne.jp/xul/_policymanager.html#whatこれはすばらしいですね。知らなかった私が馬鹿なんです。

ユニバーサルな雑談

電子体温計のピピッとなるやつ。どうせなら、ケイタイみたいに時刻がきたら振動するモードをつけると良いです。耳が遠い老人に売れますよ。ユニバーサルデザイン。くすぐったいのは勘弁しろ。あ〜、ここに書いたから特許や実用新案は取れないな、も。

量子力学の解釈について

コペンハーゲン解釈も多世界解釈も私には腑に落ちません。ボームの非局所的決定論解釈は絶対に相対論と相性が悪いのでこれもまた残念です。昨夜電撃的に、壊れた私のドタマに別個の解釈のアイデアがひらめいたので記念に書いておきたく思います。名づけて「…

量子暗号の原理にセキュリティホールがあるのか(4)

CHSH不等式 量子世界の非局所性について最も印象的なベルの不等式の破れ。でもまぁベルの不等式はわかりにくいかもしれないのでより初等的なCHSH不等式ってのがある。http://www4.ocn.ne.jp/~johnny/bell04.htmとまれ、「ある」し、量子力学が正しければCHSH…

量子暗号の原理にセキュリティホールがあるのか(3)

ステファン・ウォルボーンらの実験をこのように理解 前回、同実験について詳細を述べずに手前勝手な結論だけを書いたので自分のためにもまとめてみるテストです。ほぼ同型の実験環境を書いてみます。 実験の肝1 1対のEPR対の光量子を受け取るアリスとボブ…

量子暗号の原理にセキュリティホールがあるのか(2)

頭語 表題の件、最近、気になってしょうがないので。 「宇宙の法則なんだから盗聴なセキュリティホールがない」みたいな言い方されるとムカつく、みたいな。それほどに、正当な量子力学の解釈が絶対的なのかな?ということで。 ミナス・ジェライス大学のステ…

MS07-034: mhtml:プロトコルハンドラによる任意のスクリプトの実行 について

MS07-034、古い話で恐縮です。以下の解説記事に関して若干のコメントを今更ながら・・・[openmya:038082] MS07-034: mhtml:プロトコルハン ドラによる任意のスクリプトの実行実は、MS07-034 の件は、下記の件にも関連しているのでした。XPSP2:ローカルでHTML…

量子暗号の原理にセキュリティホールがあるのか(1)

眉唾風味で。今、趣味的に追いかけているのが、量子暗号の理論立てにおいて、その安全性を保障しているはずの≪大自然の法則≫に穴があって、セキュリティホールが存在しうるのではないかという個人的な妄想。とはいえ、単なる空想では面白くないので、ハード…

ポータブルな量子コンピュータは実現不可能か

堅実な基礎の上での厳密な論理展開を行う数理物理学でWAYの定理というのがあって、その定理の解釈によれば、量子コンピュータは一定の大きさ以下の小さなものにはならないのだそうな。大きさについての厳密な定量的な評価は現時点では難しいのかもしればいけ…

ウェブアプリケーションセュリティ読後感5

IEが変な挙動の場合のサーバー側対処策 IEが変な挙動の場合でXSS等が発生する場合に、サーバー側対処策としてHTTPのレスポンスヘッダにおいて適切に表現してさしあげることになりますね。一例としてUTF-7エンコードされたタグ文字列によるXSS脆弱性を考える…

ウェブアプリケーションセュリティ読後感4

昨日の日記に金床さんからコメントをいただいていたので、当該熟語で調べてみました。以下のがみつかりました。http://gamemortal.com/dns-rebinding-how-an-attacker-can-use-your-web-browser-to-bypass-a-firewall/FlashとかJavaアプレットとかが、ブラウ…

ウェブアプリケーションセュリティ読後感3

ということで、ここでの簡単なまとめは DNS Spoofingは11年前からある攻撃だが、FLASHには今の時点でも有効 DNS Pinningはその対策であり、ウェブブラウザやJavaアプレットが実装している Anti-DNS Pinningは最新の攻撃手法であり、DNS Pinningを破る可能性…

ウェブアプリケーションセュリティ読後感2

前振り 粗く読んでみた読後感を少々追加したく思います。 完全に過激なJavaScriptエンコードは完璧なのか ※ご注意:以下、金床さんの著書から離れて一般化したお話しです。ここでいうJavaScriptエンコードとは、XSS対策として、\uNNNNを使って対処しましょう…