O slideshow foi denunciado.
Seu SlideShare está sendo baixado. ×

ガラケーで楽しむオレJSの勧め

29 de Jul de 2010
6 gostaram 4.920 visualizações
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Anúncio
Próximos SlideShares
ブラウザとWebサーバとXSSの話@Shibuya.xss
ブラウザとWebサーバとXSSの話@Shibuya.xss
Carregando em…3
×

Confira estes a seguir

Visualizenetworktraffic 20181108
Takashi Umeno
mongoDB: OSC Tokyo2010 spring
ichikaway
汎用apiサーバの構築
Hidetoshi Mori
DB tech showcase: 噂のMongoDBその用途は?
Hiroaki Kubota
Rustを勉強してみた!
ssmylh
分散Key/Valueストア Kai 事例紹介
Tomoya Hashimoto
Non blocking and asynchronous
Norio Kobota
Playで作るwebsocketサーバ
ke-m kamekoopa
1 de 22 Anúncio

ガラケーで楽しむオレJSの勧め

29 de Jul de 2010
6 gostaram 4.920 visualizações

Baixar para ler offline

Tecnologia
Tecnologia
Anúncio

Recomendadas

ブラウザとWebサーバとXSSの話@Shibuya.xss
Toshiharu Sugiyama
4.1k visualizações
15 slides
XSS再入門
Hiroshi Tokumaru
88.2k visualizações
31 slides
pgCafeMitaka20090723
Noriyuki Nonomura
581 visualizações
11 slides
Rust と Wasmの現実
ShogoTagami1
136 visualizações
12 slides
(A7)cross site scripting
OWASP Nagoya
172 visualizações
82 slides
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
OWASP Nagoya
972 visualizações
18 slides
20190208 脆弱性と共生するには
OWASP Nagoya
906 visualizações
13 slides
CSP Lv.2の話
Yu Yagihashi
14.1k visualizações
35 slides
Anúncio

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Visualizenetworktraffic 20181108
Takashi Umeno
397 visualizações
mongoDB: OSC Tokyo2010 spring
ichikaway
1.2k visualizações
汎用apiサーバの構築
Hidetoshi Mori
2k visualizações
DB tech showcase: 噂のMongoDBその用途は?
Hiroaki Kubota
16.9k visualizações
Rustを勉強してみた!
ssmylh
625 visualizações
分散Key/Valueストア Kai 事例紹介
Tomoya Hashimoto
1.9k visualizações
Non blocking and asynchronous
Norio Kobota
2.6k visualizações
Playで作るwebsocketサーバ
ke-m kamekoopa
5.1k visualizações
WordPressにお勧めのレンタルサーバ
黒岩 堅
1.5k visualizações
KnockoutJS の紹介
Oda Shinsuke
965 visualizações
暗号化したまま計算できる暗号技術とOSS開発による広がり
MITSUNARI Shigeo
2.9k visualizações
Db tech showcase2015 how to replicate between clusters
Hiroaki Kubota
2k visualizações
Word benchfukuoka
Junji Manno
3.7k visualizações
20120525 mt websocket
Ryosuke MATSUMOTO
1.2k visualizações
いまさら聞けない WordPress 情報の在り処
Odyssey Eightbit
1.3k visualizações
DApps のユーザ認証に web3.eth.personal.sign を使おう!
Drecom Co., Ltd.
1.5k visualizações
XSSフィルターを利用したXSS攻撃 by Masato Kinugawa
CODE BLUE
7.5k visualizações
TypeScriptへの入口
Sunao Tomita
22.2k visualizações
Metamaskでアカウントを作って、nftを投げ合おう
hide ogawa
87 visualizações
[スパム報告]ボタンを押すとどうなるのか | Hosting Casual Talks #4
azumakuniyuki 🐈
729 visualizações
Visualizenetworktraffic 20181108
Takashi Umeno
397 visualizações
19 slides
mongoDB: OSC Tokyo2010 spring
ichikaway
1.2k visualizações
8 slides
汎用apiサーバの構築
Hidetoshi Mori
2k visualizações
13 slides
DB tech showcase: 噂のMongoDBその用途は?
Hiroaki Kubota
16.9k visualizações
74 slides
Rustを勉強してみた!
ssmylh
625 visualizações
24 slides
分散Key/Valueストア Kai 事例紹介
Tomoya Hashimoto
1.9k visualizações
22 slides

Quem viu também gostou (20)

ガラホ、なるものに対応してきた
baban ba-n
1.5k visualizações
WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱
Hiroshi Tokumaru
44.5k visualizações
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
Hiroshi Tokumaru
10.3k visualizações
徳丸本ができるまで
Hiroshi Tokumaru
4.8k visualizações
UnicodeによるXSSと SQLインジェクションの可能性
Hiroshi Tokumaru
4.4k visualizações
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
Hiroshi Tokumaru
14.6k visualizações
文字コードに起因する脆弱性とその対策
Hiroshi Tokumaru
4.9k visualizações
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
Hiroshi Tokumaru
7.2k visualizações
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
Hiroshi Tokumaru
22k visualizações
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
Hiroshi Tokumaru
9.2k visualizações
Rails SQL Injection Examplesの紹介
Hiroshi Tokumaru
14.1k visualizações
安全なPHPアプリケーションの作り方2013
Hiroshi Tokumaru
248.2k visualizações
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
Hiroshi Tokumaru
9k visualizações
ログイン前セッションフィクセイション攻撃の脅威と対策
Hiroshi Tokumaru
19.8k visualizações
PHPカンファレンス2009 - 45分で分かる安全なWebアプリケーション開発のための発注・要件・検収
Hiroshi Tokumaru
3.3k visualizações
今日こそわかる、安全なWebアプリの作り方2010
Hiroshi Tokumaru
9.1k visualizações
文字コードに起因する脆弱性とその対策(増補版)
Hiroshi Tokumaru
33.6k visualizações
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
51k visualizações
文字コードの脆弱性はこの3年間でどの程度対策されたか?
Hiroshi Tokumaru
32.7k visualizações
いまさら聞けないパスワードの取り扱い方
Hiroshi Tokumaru
56.8k visualizações
ガラホ、なるものに対応してきた
baban ba-n
1.5k visualizações
11 slides
WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱
Hiroshi Tokumaru
44.5k visualizações
60 slides
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
Hiroshi Tokumaru
10.3k visualizações
30 slides
徳丸本ができるまで
Hiroshi Tokumaru
4.8k visualizações
47 slides
UnicodeによるXSSと SQLインジェクションの可能性
Hiroshi Tokumaru
4.4k visualizações
40 slides
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
Hiroshi Tokumaru
14.6k visualizações
99 slides
Anúncio

Semelhante a ガラケーで楽しむオレJSの勧め (20)

JavaScript.Next
dynamis
28.8k visualizações
JavaScript.Next Returns
dynamis
7k visualizações
Html5 nagoya 07
Yoshiaki Sugimoto
1.8k visualizações
EmbulkのGCS/BigQuery周りのプラグインについて
Satoshi Akama
6.7k visualizações
Demo120724
Kazuo Shimokawa
725 visualizações
Opa - Cloud Language
Tozo Tanaka
551 visualizações
次世代プラットフォームのセキュリティモデル考察(前編)
Yosuke HASEGAWA
9.4k visualizações
Application Architecture for Enterprise Win Store Apps with DDD Pattern
Atsushi Kambara
3.1k visualizações
20141004 EC2を使わないAWS - 四国クラウドお遍路2014
Takuya Oketani
4k visualizações
Backbone.js入門
AdvancedTechNight
13.6k visualizações
[CB16] Electron - Build cross platform desktop XSS, it’s easier than you thin...
CODE BLUE
1.1k visualizações
スマートフォン対応、気をつけたいトラブル
Hiroaki Wakamatsu
29.3k visualizações
JSX の現在と未来 - Oct 26 2013
Kazuho Oku
8.2k visualizações
Ruby向け帳票ソリューション「ThinReports」の開発で知るOSSの威力
ThinReports
6.3k visualizações
「html5 boilerplate」から考える、これからのマークアップ
Yasuhito Yabe
6k visualizações
SocketStream入門
Kohei Kadowaki
2.8k visualizações
2014 1018 OSC-Fall Tokyo NETMF
Atomu Hidaka
846 visualizações
PlayFramework1.2.4におけるWebSocket
Kazuhiro Hara
2k visualizações
第10回Mozilla拡張機能勉強会-FireMobileSimulatorについて
Takahiro (Poly) Horikawa
1.2k visualizações
Mvc conf session_5_isami
Hiroshi Okunushi
705 visualizações
JavaScript.Next
dynamis
28.8k visualizações
94 slides
JavaScript.Next Returns
dynamis
7k visualizações
112 slides
Html5 nagoya 07
Yoshiaki Sugimoto
1.8k visualizações
33 slides
EmbulkのGCS/BigQuery周りのプラグインについて
Satoshi Akama
6.7k visualizações
16 slides
Demo120724
Kazuo Shimokawa
725 visualizações
8 slides
Opa - Cloud Language
Tozo Tanaka
551 visualizações
11 slides

Mais de Hiroshi Tokumaru (20)

SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
92.8k visualizações
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
5k visualizações
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
Hiroshi Tokumaru
1.7k visualizações
SQLインジェクション再考
Hiroshi Tokumaru
1.1k visualizações
徳丸本VMに脆弱なWordPressを導入する
Hiroshi Tokumaru
789 visualizações
introduction to unsafe deserialization part1
Hiroshi Tokumaru
510 visualizações
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
2.4k visualizações
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
3.5k visualizações
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
21.8k visualizações
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
Hiroshi Tokumaru
8.9k visualizações
Railsエンジニアのためのウェブセキュリティ入門
Hiroshi Tokumaru
23.7k visualizações
安全なWebアプリケーションの作り方2018
Hiroshi Tokumaru
30k visualizações
秀スクリプトの話
Hiroshi Tokumaru
31.3k visualizações
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
Hiroshi Tokumaru
30.3k visualizações
若手エンジニアのためのセキュリティ講座
Hiroshi Tokumaru
31.5k visualizações
ウェブセキュリティの常識
Hiroshi Tokumaru
31.3k visualizações
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
Hiroshi Tokumaru
70.6k visualizações
ウェブアプリケーションセキュリティ超入門
Hiroshi Tokumaru
48.3k visualizações
ウェブセキュリティの最近の話題早分かり
Hiroshi Tokumaru
71.4k visualizações
セキュリティの都市伝説を暴く
Hiroshi Tokumaru
86.3k visualizações
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
92.8k visualizações
107 slides
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
5k visualizações
64 slides
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
Hiroshi Tokumaru
1.7k visualizações
27 slides
SQLインジェクション再考
Hiroshi Tokumaru
1.1k visualizações
31 slides
徳丸本VMに脆弱なWordPressを導入する
Hiroshi Tokumaru
789 visualizações
8 slides
introduction to unsafe deserialization part1
Hiroshi Tokumaru
510 visualizações
19 slides
Anúncio

Mais recentes (20)

【DL輪読会】Bridge-Prompt: Toward Ordinal Action Understanding in Instructional Vi...
Deep Learning JP
97 visualizações
PythonでWebDAVサーバーを作ろう②
iPride Co., Ltd.
16 visualizações
【タガヤス】イベント行動規範_オンライン
タガヤス
9 visualizações
OpenLineage による Airflow のデータ来歴の収集と可視化(Airflow Meetup Tokyo #3 発表資料)
NTT DATA Technology & Innovation
18 visualizações
alieaters_yoshimura_20230317.pdf
Masaki Yoshimura
29 visualizações
40歳過ぎてもエンジニアでいるためにやっていること
onozaty
30.6k visualizações
GANの簡単な理解から正しい理解まで
Kazuma Komiya
16 visualizações
chatGPTの驚くべき対話能力.pdf
YamashitaKatsushi
0 visualizações
【タガヤス】イベント行動規範_オフライン
タガヤス
13 visualizações
複数の質感を複合的に提示可能な触覚提示デバイス
Matsushita Laboratory
50 visualizações
SX1302屋外8ch.LoRaWAN ゲートウェイ DLOS8Nマニュアル
CRI Japan, Inc.
10 visualizações
3DReconstructionDemo20230316.pdf
Taka Ishii
12 visualizações
Azure PlayFab トレーニング資料
Daisuke Masubuchi
33 visualizações
GitHub Actions と Azure PaaS でプルリクエストごとに環境を ~ Azure Static Web Apps と Containe...
Kazumi IWANAGA
10 visualizações
JTEKT_CSR特集.pdf
ssuser7715921
42 visualizações
burikaigi2023
Tatsuya Ishikawa
8 visualizações
Azure Arc Automanage Machine Configuration による構成の管理と適用
Kazuki Takai
38 visualizações
2022 02 Light your way
arts yokohama
50 visualizações
sitTokyo2023_SACのSHINKA(進化、深化、真価)に大注目!!.pptx
Fumiya Imazeki
3 visualizações
校内グループ基本操作_20230228.pdf
classicorp
6 visualizações
【DL輪読会】Bridge-Prompt: Toward Ordinal Action Understanding in Instructional Vi...
Deep Learning JP
97 visualizações
19 slides
PythonでWebDAVサーバーを作ろう②
iPride Co., Ltd.
16 visualizações
21 slides
【タガヤス】イベント行動規範_オンライン
タガヤス
9 visualizações
1 slide
OpenLineage による Airflow のデータ来歴の収集と可視化(Airflow Meetup Tokyo #3 発表資料)
NTT DATA Technology & Innovation
18 visualizações
22 slides
alieaters_yoshimura_20230317.pdf
Masaki Yoshimura
29 visualizações
16 slides
40歳過ぎてもエンジニアでいるためにやっていること
onozaty
30.6k visualizações
18 slides

ガラケーで楽しむオレJSの勧め

  1. 1. ガラケーで楽しむオレJSの勧め 2010年7月24日 徳丸 浩 @ockeghem / id:ockeghem
  2. 2. JavaScriptと私  興味をもったのはサイ本(第2版 1997/7)と出会ってのこと  1998年のころと思われる  Aha! なんて面白い言語なんだ!  「オブジェクト指向プログラム言語としてのJavaScript 」サイトを立 ち上げる(1998年5月)  www.tokumaru.orgは、Yahoo!のカテゴリではJavaScriptで登録され ている  1999年頃 お仕事で、JavaScript風のスクリプト言語を作った  GreenScript:ケータイ向けサーバーサイドのスクリプト言語  仮想マシンへのコンパイル、GCはストップ&コピー型  しかし、表面的に似ているだけで、中身はまったく別  レキシカルスコープのみ…(^^;  ケータイコンテンツの作成に使用される 初期メロッチャ etc  その後10年間なにもしてこなかった 3
  3. 3. 携帯電話とJavaScript  1999年のiモード以来、ケータイブラウザではJavaScriptが長らく サポートされていなかった  EZwebは今でもサポートされていない  いわゆるフルブラウザは除く  ここでも話題に取り残されるKDDI  2009年5月22日以降のiモードブラウザ2.0端末ではJavaScriptが サポートされる  ソフトバンクも2010年夏モデルの944SH(2010年6月18日発売)以 公式に対応 降、JavaScriptに対応 「公式に」って? 5
  4. 4. iモードブラウザ2.0の登場 2009年5月19日づけNTTドコモ社の報道発表より http://www.nttdocomo.co.jp/info/news_release/page/090519_00.html より引用 6
  5. 5. ソフトバンクでもJavaScriptに対応 実はちょっと違った http://k-tai.impress.co.jp/docs/news/20100518_367787.html より引用 7
  6. 6. 本当に2010年夏モデルからなのか?  実はかなり以前からソフトバンク端末の一部のモデルで JavaScriptに対応していた  ノキア 702NK(2004年12月発売)では簡単なJavaScriptに対応  XMLHttpRequestやIFRAME、DOMには対応していない  804SS(2006年3月)、910T(2006年10月)、910SH(2006年11月) では、NetFront 3.3によるJavaScript対応  IFRAME、DOMに対応…攻撃に利用できる可能性*1  XMLHttpRequestには対応していない  922SH(2008年3月)では、NetFront 3.4にてAjaxに対応  XMLHttpRequest / setRequetHeaderのサポート  944SH, 945SH(2010年夏)にて正式対応  ユーザエージェントには SoftBank/2.0 とある 注 *1: 804SSはIFRAMEに対応していない 8
  7. 7. ソフトバンク社技術資料より 端末は、ソフトバンク携帯電話向けJavaScript を利用 できる。 ソフトバンク携帯電話向けJavaScript は、Standard ECMA-262 ECMAScript Language Specification 3rd edition[ECMASCRIPT]に準拠したJavaScript に DOM(DOM Level0[JavaScript13], W3C DOM Level1[DOM1], W3C DOM Level2[DOM2CORE] [DOM2EVENT][DOM2HTML][DOM2STYLE])+XML HttpRequest で定義されたインターフェイスを追加し たものである。 http://creation.mb.softbank.jp/docs/A-081-111-BrowserExtension_1.0.1.pdf より引用 9
  8. 8. ケータイJavaScriptの互換性  分かっている非互換性 オレ標準  ドコモの問題  alert、confirm、promptが動かない / setRequestHeaderが動かない いずれも何もしないメソッドに…(2009年11月のJavaScript再開後)  XMLHttpRequestで、上位ディレクトリのファイルは読めない  ソフトバンク/1.0の問題  目立った機能制限無し  setRequestHeaderの制限が緩い(後述)  ソフトバンク/2.0の問題  setRequestHeaderの制限 書き換え可能なヘッダは“x-xhr*”のみ  alert/confirm/promptは使える  制限する理由はセキュリティ対策らしい 10
  9. 9. ドコモのalert停止はXSS対策?  XSS脆弱なスクリプト(本日の唯一のJavaScript) <body> こんにちは<?php echo $_GET['p']; ?>さん </body>  以下のURLで呼び出し http://example.jp/xss.php?p=%3Cscript%3E alert(document.cookie)%3C/script%3E  結果は? 11
  10. 10. ドコモのalert停止はXSS対策? ドコモ(P-07A) ソフトバンク(932SH) 12
  11. 11. ドコモのalert停止はXSS対策? ドコモ(P-07A) ソフトバンク(932SH) XSSは発 動しない XSSが発 動する 13
  12. 12. ドコモのalert停止はXSS対策? ドコモ(P-07A) ソフトバンク(932SH) XSSは発 動しない XSSが発 動する 14
  13. 13. ドコモのalert停止はXSS対策? ドコモ(P-07A) ソフトバンク(932SH) alertが動か XSSは発 ないだけで 動しない XSSは有効 XSSが発 動する 15
  14. 14. ソフトバンクの「XSS対策」も発覚  URLに「<」、「>」、「”」のいずれかの文字がある場合、その文字以 降を削除してWebサーバに送出している http://example.jp/?p=foo<script>alert(document.cookie)</script> ↓ こうなる http://example.jp/?p=foo  しかし、%エンコーディングされている場合はそのまま通すので、 XSS対策にはならない http://example.jp/?p=foo%3cscript%3ealert(document.cookie)%3c/s cript%3e はそのまま通るのでXSS対策としては意味がない  URIとして使用できる文字のみ通すという訳でもなさそう  なぜこういう仕様なのかは謎  すみません。今日はWeb標準の日でした < > ” はURIとして許されない文字なので問題ありません(_ _) 16
  15. 15. setRequestHeaderはどのヘッダを改変してよいか? http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy_for_XMLHttpRequest より引用・追記 17
  16. 16. 初出:5月27日 http://mb.softbank.jp/mb/information/details/100527.html より引用 18
  17. 17. http://creation.mb.softbank.jp/docs/A-081-111-BrowserExtension_1.0.1.pdf より引用 19
  18. 18. 20
  19. 19. twtr.jpの事例 http://www.tokumaru.org/d/20100222.html#p01 21
  20. 20. Ajax有効な機種のサマリ •ただし、SHARPの最新機種943SHのみは、Refererが送出されるが、改変はできない •△はデフォルトでAjax無効、オプションにより有効化可能(SHARP端末は多いので抜粋) •上記以外のPanasonic、Toshiba等はAjax無効 22
  21. 21. setRequestHeaer制限の副作用  iモード2.0、SoftBank 2.0ともsetRequestHeaderには厳しい制限 が掛かっている  互換性を損なう可能性  POSTリクエストの際に、Content-Typeが指定できなくなる requester.setRequestHeader(“Content-Type” , “application/x-www-form-urlencoded”); → irameで代替  prototype.jsでは、X-Requested-With、X-Prototype-Versionなどの ヘッダを設定している。これらが無効になるので、prototype.jsが使用 できなくなる可能性  Ajaxのセキュリティ対策として、setRequestHeaderを使う場合がある が、使えない(docomo)か、フィールド名を変更(SoftBank)する必要 がある(既存Ajaxアプリ、ライブラリの場合) 23
  22. 22. まとめ  最近のガラケーではJavaScriptが利用できる機種がある  おもに「かんたんログイン」との関係で、JavaScriptには制限がか けられている  ソフトバンクの古い機種には危険な仕様があるが、ユーザに制限 させるという「対策」がとられた  NTTドコモとソフトバンクは、おなじACCESS製のブラウザが搭載 されているがJavaScriptの仕様が違う  JavaScriptの制限が、アプリケーション開発上の制約となる可能 性が高い 24

×