GreasemonkeyのユーザスクリプトであるMinibufferに脆弱性があるよって話。Scriptishでも同様ですよ Minibuffer for Greasemonkey Minibufferが動く状態で、↓のページにアクセスしてみよう http://www.paw.hi-ho.ne.jp/makochi/test/minibuffer.html ただし…

ViChromeというGoogleChromeの拡張機能がある。この拡張のセキュリティリスクを一つ発見した話。問題は既にversion 0.6.2 で解決されているので、話に出しても大丈夫だよね。既知のノウハウなのかもしれないが、個人的には「おお、なるほど！」と思ったので…

独自キーバインドを設定するために、コンテンツ領域で keypress や keydown を拾う拡張機能が幾つかある。 keyconfig 系とか Vimperator 系とかね。んで、これらの拡張っていうか、GoogleChromeはコンテンツ側で生成してディスパッチしたキーボードイベント…

window.twttr = (function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0], t = window.twttr || {}; if (d.getElementById(id)) return t; js = d.createElement(s); js.id = id; js.src = "https://platform.twitter.com/widgets.js"; fjs.paren…

Jetpackのセキュリティ性(続報)の続き 進展があったのでご報告。 https://bugzilla.mozilla.org/show_bug.cgi?id=494779 開発者であるAtulさんが昨日書き込んでいて、 開発版(trunk)ではChrome特権なしで動くようになっている ブログに実装の背景を書くよ Je…

今現在は修正されています！ Growl/GNTP は危険じゃないよ！！ あと、これはFirefox拡張の話で GNTP というプロトコルの話じゃないっす。ご注意を。

Jetpackのセキュリティ性の続きどうも待っているのは性に合わないようで、バグ登録してみた https://bugzilla.mozilla.org/show_bug.cgi?id=494779 *1 Jetpackのセキュリティ性で挙げた、XPCOMが利用可能なことに対する言及し、 do not require write access…

Mozilla Jetpackについて調べたいことの続き。 Secure Provides access to only the privileges needed, with security issues always be presented in social-terms, and not technical-terms Short and easy to review code ensures that potential securi…

Firefox 3.0.5 にステータスバーを偽装できる欠陥 - Windows Livebookmark ステータスバーの表示を偽装できてしまう脆弱性があるようです。「ようです」というか実装コードのサンプルもあるのでやってみると確かにステータスバーに表示されているURLとは別の…

最近の事情は全く調べてないので、既出かもしれないが、Ubiquityは仕様上もの凄く怖い点がある。 それは、コマンドがChrome特権下で動作するということだ。 Chrome特権下で動くと言う事はXPCOMが使えると言う事。何でも出来るということになる。実際に作って…

そこでPingdomではサイト管理者に対して、ユーザーを失うことがないよう注意点を挙げている。まず、1）SSL証明書を更新し、2）必要のないページからSSLを除去し、3）SSL証明書の期限日を確認しておくこと――としている。 Firefox 3のSSL証明書ポリシー変更で…

Firefox 3の「Show Passwords」ってちょっと危険じゃね？ | IDEA*IDEA 参考:設定ウィンドウ*1 よくある灯台下暗しな勘違いではあるけど、id:kitsさんのセキュリティに関する機能の周知は重要だと思います。(今更とかいう話ではないと思う)の言葉に感動したの…