Home

Happy Life of Things

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  • Comments (Close): -
  • TrackBack (Close): -

Twitter がハックされた!Twitter Hacked

テキトーにまとめると、javascript でのマウスオーヴァーバグを利用したイタズラ(ハッキング)。とくに普段からも、WebからTweetして人のリンクばっかり踏みまくってる人たちは、多分ハマっちゃったと思われます。
KellyはPC アウトしてる時間が長かったため、かなりズレまくりで異変に気がつきましたが あはっ 

だけどさ、クロスサイトも怖いけど クロス円のがもっと怖いっつーの!

361618085_27ba82d87e.jpg

これを一般的にCross site scripting. 略でXSSと呼びます。

ソフトウェアのセキュリティホールの一つで、Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと。
これについて、はじめて聞くよーそんなの っていう人たちはとりあえず覚えようね。

最近は日本でもTwitter人口増えてますね。今回はTwitterがそのままクロスサイト状態になってしまったという割とシリアスなケースでもあるのでここに書きます。ユーザーアカウント情報
がもれたり勝手に改ざんしたりとかの悪用はされなかったと、Twiiterからの報告を読んだので安心しました。

ちなみにモバイル、サードパーティを利用している人たちは全く被害なし。Kellyもそうです。
また同じようなことが起こる可能性もあるので、ヘビーユーザーは、念のため専用クライアントは1つくらいは入れておいた方がいいと思います。

バグ修正パッチのアップデートはすでに完了してるから、もう大丈夫と思いますが 念のため、奥さんたち 勝手に不正でRTされたへんなスクリプトは早く消してくらはい。OK ?

Q:クロスサイトって何ですかー? 

A:悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。

このような形でページに埋め込まれてしまったスクリプトは、Webブラウザではページ作成者以外が埋め込んだものであると認識できないため、ブラウザ側でこの問題を防止するには、スクリプトを使用しない設定にするほかなく、スクリプトを使用する場合は常にこの問題が発生しうる。

悪意のあるコードを直接埋め込んで実行させるほかに、ユーザに認識のないまま他所のスクリプトを呼び出して実行するよう仕向けることが可能なため、"Cross Site" の名がついている。

スクリプトの内容によってはCookieデータの盗聴や改竄などが可能なため、商取引に使ったCookieを横取りして、本人になりすまして物品の購入を行なったり、Cookieを認証やセッション管理に使っているサイトに侵入したり、より広範かつ深刻な損害を与える可能性がある。

対策としては、訪問者からの入力内容をそのまま表示せずに、スクリプトなどのコードを識別して無効化する処理を施すことが必要である。
Original source here http://e-words.jp/w/XSS.html

にほんブログ村 為替ブログ FX 女性投資家へ

人気ブログランキングへ
最近ランキングが転落。更新のモチベーション落ちてます。1日1回のポチッとにご協力下さい。応援してくらはいませ


スポンサーサイト

つぶやく時間でweb1ページが出来上がるZEN Cordingがステキっ

はろにちわん。久しぶりのポストです。
トレーディング禁止命令がまだ解除されてないので今日はちょっとしたWEBネタ。Kellyはというと、今更ながらCSS3とJQueryの魅力に取り憑かれてます。ハマりだすと止らない。最初のきっかけって、みんな同じと思うけど、例えば尖ったボックスじゃなくてまるっこい方がかわいいなーとか、暑苦しいボールドの文字にグラデーションあったらオッサレじゃない?でもどうやるんだ~?みたいなことから始まるわけ。CSSで思い出したけどさ、最近いろんなテクニックサイトで話題になっていたZEN Cording、Kellyも入れてみた。そしたら、わお~すげー。ツイッターのつぶやきより短いコード入力でWeb1ページのファンデーションが出来上がりっと!2年まえのわたしなら何がすごいんだよ?くらいに意味不明だったと思われるけど、これの良さが分ってきたってことは進化した証拠だおー。
今このブログで使っているvicuna CMSの開発者もブログで絶賛してた。プロにはたまらないツールが誕生したわけですね。
ただしこれを効率よく使う前提は、基本のエレメンツをDeployできるスキルが必要。スタイリングがすでに先走っていて脳内HTMLが出来上がっている人にとってはサイコーだな。ボクちゃんも頑張るぞっと。


説明するよりムービーみた方が早いお。
USTでZEN cordingしちゃったコモリさんのライブもステキ♫

<div#coding>h1#textmate-with-zen+p.tagline

を入力して「Cmd+E(Coda版とDWのMXP版はCtrl+,)」で展開すると下記のコードがどーんと入ります。

<div id="coding">
 <h1 id="textmate-with-zen"></h1>
 <p class="tagline"></p>
</div>
記事内にちょくペーストしたら勝手に生成されてた。 そらそーだ。 あははっ


 

この書式を見てすぐ気付く方もいると思いますが、まるでCSSのセレクタを書くかのように「#」でid属性、「.」でclass属性、「>」で階層、「+」で隣接している 要素を繋げられます。つまり、HTMLの文書構造が明確で頭の中で書くことが決まっている場合は、1行で書いて展開した方が圧倒的に速いってわけです。
※idは「Cmd+3」、classは「Cmd+2」のショートカットもある。
同じ事の繰り返しは「*」、数字を付けるなら「$」構造がわかっていればこのように簡単に展開できますが、HTML文書というのは同じ要素の繰り返しというのも結構な確率で登場します。たとえば、ナビゲー ションのli要素だったり定型のdivとhとpの繰り返しだったり。そんな時は「*繰り返す回数」を付け加えればOK。

ul#nav>li*3>a と 書いて展開してすると、

一瞬でこれ。
<ul id="nav">
 <li><a href=""></a></li>
 
<li><a href=""></a></li>
 
<li><a href=""></a>
</li>

</ul>

で、これを書いていて一瞬呪いにハマった。この< > は今度どうやって表示させるんだっけ? アふぉ~ そのままかけばいいんじゃん。って思ったけど、カンタンにはいかないのが特殊文字のやっかいなところ。くぅめんどくさい
→ &lt; &gt; これを記事内に表示させる方法を説明しようとすると更にイラっとくるわけです。
&lt;の頭に&amp;と書く。


こんな感じでコードが 展開されます。TABキー(Shift+TAB)で、それぞれのhref属性とa要素の中身を移動できるので入力もスムーズィー 楽勝です(笑)

Zen-Coding Ext. from komori, masaaki on Vimeo.

Home

AUTHOR


不定期ですがInstagramの画像も上げてます、Flickrとクロスポストしてます。iPhoneユーザーは一緒にシェアして遊びましょう。


✐ RECENT COMMENTS
MAILFORM
Contact me ▶

javascriptオフの場合はこちら▽

TRAFFIC FEED
Feeds

Back to Top