2008年6月4日(水曜日)
アニメGIFの動きを止める技
WCAG1.0 のチェックポイント 7.2 には
7.2 Until user agents allow users to control blinking, avoid causing content to blink
以上、WCAG1.0 Guideline 7. Ensure user control of time-sensitive content changes. より
なんてのがあるのですが、実はアニメGIFの動きってブラウザの中止ボタンやEscキーで停止できるのですね……。設定で最初からアニメーションしないようにできるのは知っていましたが、こんなお手軽に停止できるとは。
※秋月電子秋葉原店 (www.aki-den.jp)のサイトでは、アニメGIFの下に律儀にも「※点滅を止める場合はブラウザの「中止」ボタンを押してください」なんて書かれていたり。
- 「アニメGIFの動きを止める技」にコメントを書く
iPhone×ソフトバンクモバイル
ソフトパンクモバイルから「「iPhone」について (www.softbankmobile.co.jp)」というプレスリリースが出ておりますね。これは興味深い。
※私の端末はなんか「Vodafone」とか書いてありますけど。:-)
クロスサイトスクリプティング脆弱性とは?
「[データセンターを疑似攻撃]クロスサイト・スクリプティング,SQLインジェクション (itpro.nikkeibp.co.jp)」という記事が。
XSSは基本ですよねー、と思いながら読んでいたらこれがなかなか凄いことになっているようで。
「クロスサイト・スクリプティング」の手口は,次のようなものだ。一般的なWebブラウザは,信頼性の低いWebページから読み込んだスクリプトを実行しないように設定できる。そのため,ユーザーが閲覧した信頼性の低いWebページに悪意あるスクリプトが埋め込まれていても実行されない。ところが攻撃者は,リダイレクトとHTML タグを組み合わせることで,悪意あるスクリプトを信頼性の高いWeb サイトから配信されたかのように見せかけることができる。
……。ほとんどの人は「信頼性の低いWebページから読み込んだスクリプトを実行しないように設定」なんてことはしていないと思うのですが、そういう一般市民には関係ない話だという理解で良いのでしょうか。そんなわけないと思うのですが。
サーバーの運用者がクロスサイト・スクリプティングに対処するには通常,(1)Webブラウザからの入力内容にあるHTMLタグを受け入れないフィルタを付加する,(2)「HTTP Traceメソッド」をブロックする,(3)データベースから取得したデータに対して特定のHTMLタグの除去処理をする,といったことが必要である。今回の検証実験では,防御チームが(1)と(2)の対処策を講じているかどうかを調べた(図4)。
……いや、通常はそういうことではなくて、もっとまっとうな対応をすると思うのですけれど……。
※ちなみに (2) はCross Site Tracingの対策の話ですが、TRACE が有効でもXSS脆弱性がなければ問題ないわけですから、これ自体が脆弱性であるとは言えないと思いますね。
関連する話題: Web / セキュリティ / クロスサイトスクリプティング脆弱性 / SQLインジェクション / ITpro
- 前(古い): 2008年6月3日(Tuesday)のえび日記
- 次(新しい): 2008年6月5日(Thursday)のえび日記
