Inkscapeの出力したsvgに注意 ― 2007年11月15日 22時25分45秒
「セキュリティ」ってカテゴリが正しいのかは置いといて。
こないだPOSTした「Inkscapeでアクア風ボタンを作ってみる」で、作成したSVGを公開したんだけど、テキストエディタで中身をのぞいてちとびっくり。 ルート要素の「svg」に「sodipodi:docbase」って属性がくっついてて、そこに作成時のローカルディレクトリのパスが入ってるじゃない!
てなわけで、差し替えました。あー、びっくり。
まぁ、これ覗かれたからって、即なんか危ないわけじゃないんだけど、Inkscapeで作成したファイルを配布するときはご注意を。不要にローカルの情報を外部に出す必要ないしね。
なんか出力を抑制するオプションがあるのかしらん。
firefoxurl:// ― 2007年07月18日 23時31分16秒
IEとFirefoxをインストールしている人は要注意--「非常に重大」なセキュリティリスク:ニュース - CNET Japan
そもそも何のために「firefox://」があるの?と思ったら、
一方、SecuniaのKristensen氏は、「新しいURIハンドラは、『firefoxurl:// 』が呼び出されたときに、サイトがFirefoxを強制的に起動できるように、Windowsシステムでサポートされた。『ftp://』や『http: //』などがほかのアプリケーションを呼び出すのと同じだ」と語っている。だとさ。強制的にFirefox呼び出さなくてもいいじゃん。ほかのプラットフォームでサポートしてないんでしょ?
プロトコルハンドラ削除する機能でも追加すりゃいいのに。
どうでもよいがCNET重すぎ。マウスジェスチャが軒並みキャンセルされる。あ、All-in-One Gesturesの問題か。
Safari for Winの脆弱性 ― 2007年06月13日 14時54分39秒
当面Safariネタは書くつもりがなかったけど、今日はSafari関連で検索してここにくる方も大勢いらっしゃるので。
- 「Windows版Safari 3.0はセキュアでない」:研究家らが早くも指摘 - CNET Japan
- Apple's Safari a Windows security risk? - Engadget
CNETによれば、
AppleがWindows用「Safari 3.0」のベータ版を一般公開した数時間後、セキュリティ研究家3名がセキュリティホールをそれぞれ発見したことを明らかにした。とのこと。DoS攻撃、メモリ破壊エラーなどいろいろ見つかってる模様。
このCNETの記事を読む前に本家Engadgetの記事(上の2番目のリンク)を目にしていたのだが、エントリ書こうと思っててそのまま寝ちまったので忘れてた。こっちの記事はやはりDoS攻撃と、2件のリモート攻撃の脆弱性が云々という内容(みたい。英語自信なしorz)。
正直まだ実用性にはいたっていないと思うし、近頃ここまで弱いソフトも珍しい(ネームバリューと比較して、という話だが)と思うので、せめてセキュリティ周りが改善されるまでSafari for Winは使わないほうがよいかも。
ITmediaに何者かが不正侵入 ― 2007年05月03日 04時41分58秒
「ITmedia」に何者かが不正侵入、ページを書き換えて不正コード設置(via: GIGAZINE)
「ITmedia Biz.ID」トップページ、「TechTargetジャパン」Webキャストページ、「ITmediaメールマガジン」ご案内ページの3つが2007年4月27日18時から5月1日13時までの期間中に不正コードの入ったページを表示した可能性があるとのこと。 Windowsアップデートを最新状態にしていれば無害だったようですが、上記期間中にアクセスした記憶がある人は念のため、アンチウイルスソフトなどでスキャンしておきましょう。「EXPL_EXECOD.A」「JS/Exploit-BO.gen」「Exploit.HTML.IframeBof」というように検出されるらしい。とのこと。「GIGAZINE」より引用
普段IEを使用していて、上記ページに心当たりがある方はウィルスチェックをされたほうがよさそうですね。
最近のコメント