cocuh's note

type(あうとぷっと) -> 駄文

Security

sudo sessionが有効なときにmakepkgすると内部でもsudo sessionが使える

先日sudoで遊んでたらきづきました。 既知かもしれませんがblogに書いておきます。

Pyramidのauthentication policyで気になったこととその実装

groupを使っている時にuseridとgroup名が同じ場合、認可されてしまう気がしたのでちょっと調べたことです。結論としては、callbackでgroupfinderを叩かない、 もしくは、AuthenticationPolicyは自前で実装するほうが安全だと思います。誤解していなければ問…

SVGでXSSしてみる。その2

スクリプトのSVGがCSP(Content-Security-Policy)下でどのように動くのかを検証したのでまとめてみました。『SVGでXSSしてみる。その1』のつづきです 前回はsvgをhtmlに取り入れるタグをそれぞれ試して挙動がどのように変わるかを見ました。今回はそれをCSP下…

SVGでXSSをしてみる。その1

svgにjavascriptが埋め込んだ時の挙動がどう違うのか気になっていろいろ試したのでとりあえずまとめてみます。 特に言及していなければfirefoxで試しています。

市販ルーターのセキュリティで怖いと思ったこと

市販のルーターをちょっと触って怖いなと思ったことを書いてみました。 市販されているルーターは本来のルーターの機能とwifiアクセスポイントとしての機能を兼ねていることが多いので、この記事ではアクセスポイントの機能も含んでルーターと表記します。 …