くまきち

山と旅と家族が大事。
でも激しい物欲が理性と財布のタガを飛ばす
最近は自転車も乗ってる

Ajax でクロスドメインアクセス(2)

2009-03-21 23:57:23 | SEまわり
 昨日、Ajax でクロスドメインアクセスで書いたことについて。

 よく考えてみたら、自サーバ上にプロキシしてくれるスクリプトを置いてしまえばいいじゃないかと言うことに気付いた。 やっぱり深夜は気付かないうちに集中力が落ちてるのか。 簡単なことを見落とす。


 Ajaxスクリプト → 自ドメイン上のプロキシスクリプトに必要な情報を渡す
         → プロキシスクリプトが代わりに情報を外部に取りに行って、結果をXML形式で返す

と言うだけのことだ。

 やってみたら、すぐ出来た。


 つーことで、続き作ろう

共通脆弱性評価システムCVSS

2009-03-21 02:36:22 | SEまわり
情報処理推進機構:情報セキュリティ:共通脆弱性評価システムCVSS v2概説

と言うのがある。

 実は見つけたのも最近で、v1 があることも知らなかった。
 脆弱性監査ツールにはこの評価基準を取り入れたものもあるようだ。

 こういう基準はあるといいね。

 関連製品と記事。

- クリストンPrecision Vulnerability Management の新機能を発表 - Criston IT & Security Management Solutions
- ネットワークセキュリティ 脆弱性検査ツール eEye Digital Security - SCS 住商情報システム株式会社
- 脆弱性管理ソリューション『SecureScout(セキュアスカウト)』CVSS v2.0に対応 (IT ランダム プレス)
- 脆弱性対策情報データベース「JVN iPedia」をバージョンアップしました - ホットセキュリティ

Ajax でクロスドメインアクセス

2009-03-21 02:30:47 | SEまわり
うー


 入力されたキーに従って、Ajax で情報を拾ってきて表示させようと思ったんだけど、クロスドメインになると 制限かかるのか…
 だめやん。

マイクロソフト様のページによると、

Security
Behaviors are subject to the About Cross-Frame Scripting and Security rules of Internet Explorer. In other words, a Web page that refers to a behavior located on another server in another domain results in an "access denied" error in the page's onerror event handler. In the same way, a Web page that refers to a behavior of a different security protocol than the referring page will result in the same error. For example, a Web page on http://server1/page.htm might not refer to a behavior on https://server1/hilite.htc.


となってて、やっぱりダメみたい。 ajax 以前の問題か。


さらにどうにかならないかと調べる。


クロスドメインなのにAjax出来てしまう仕組み「ACD」:phpspot開発日誌

と言う記事にある、サンプルを試してみる。確かに書いてある通りの動作になる。


原理は同じで、分かりやすく説明されているのが次のページ

ウノウラボ Unoh Labs: Dojoで簡単にクロスドメインAjaxを実現


  JavaScriptのインクルードは、同一ドメインでなくても読み込めるという性質を利用しています

と言うことだそうだ。

 なるほどなあ… みんな賢いよなあ…


 んで、これはこれで危険性を持っているので、その理屈と注意点、対策についてはこちら。

ここが危ない!Web2.0のセキュリティ:第3回 JSONPでのクロスドメインアクセス|gihyo.jp … 技術評論社


 奥が深い…

IEでJavaScriptのデバッグをするには

2009-03-21 01:56:59 | SEまわり
jQuery も Ajax も、そもそも JavaScript についても見事に初心者です。わし。

でも、ちょっとツールを作っている時に使ってみたいと思い、やってみてるけど、困るのは、Firefox で動作を確認して、IE でやってみると動かなかったりするケースが多いこと。

動かないのは仕方ないにしても、IE が表示するエラーメッセージはこれまた意味が分からない。

どうにかならないかと思って、ちょっと探したら、こんなページを見つけた。

IEでのJavaScriptのデバッグ方法 - Microsoft Script Editor編 - - Yet Another Hackadelic

ところが、IE7 ではそもそもスクリプトデバッガを起動するタイミングが来ない。 オプションの詳細設定で、デバッガを有効にしていても関係ない。


さらに調べると、マイクロソフト謹製のASP.NET AJAX 1.0をダウンロード&インストールすると良いらしいことを発見。


で、インストールしたけど、かわらんぞ… どうすりゃいいのかな