Hebikuzure's Tech Memo

2011年4月26日

Internet Explorer 9 日本語版公開

Filed under: Internet Explorer — hebikuzure @ 10:51 AM

東日本大震災の影響で延期されていたInternet Explorer 9 日本語版のダウンロード提供が、本日0時から開始されました。対応環境の方はぜひお試しください。(特に Windows 7 環境では、標準の IE8 より IE9 の方が Windows 7 らしい機能が豊富でお勧めです)

また昨日はこちらの記事にあるように発表記者会見に参加させていただき、(何と日本の MVP for Internet Explorer 全員勢揃いで) ちょっとしたパネル トークをしてきました (段上左から MS 溝口さん、MS 春日井さん、小山田さん、小松さん、白石さん、羽田野さん、私)。

広告

2011年4月22日

[IEInternals] XSS フィルターを制御する

Filed under: Internet Explorer — hebikuzure @ 7:39 PM

Controlling the XSS Filter 
http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header.aspx


ようやく医者から日常に復して問題なしとの診断を得ましたので、まず足慣らしに Twitter で @hasegawayosuke さんと話題にしていた X-XSS-Protection ヘッダーについての EricLaw’s IEInternals の記事を私訳してみました。

以下の文章は EricLaw’s IEInternals の 1/31 の記事 Controlling the XSS Filter を hebikuzure が私的に試訳したものです。翻訳については Microsoft Corporation および日本マイクロソフト株式会社とは無関係に hebikuzure が公開情報に基づき独自に行ったものであり、この文書の内容についての文責は公開者である hebikuzure にあります。翻訳の内容および技術的内容については正確を期すよう十分な注意を払っておりますが、誤りや不正確な部分が含まれている可能性がありますので、本文書を利用される際には原文も併せてご確認ください。


XSS フィルターを制御する

2011年1月31日 午前9時36分

Internet Explorer 8 には、XSS フィルターとして知られている、反射型クロスサイト スクリプティング攻撃を防止するのに有効な画期的新機能があります。このフィルターは既定ではインターネット ゾーン、信頼済みサイト ゾーン、制限付きサイト ゾーンで動作します。ローカル イントラネット ゾーンのページでは以下のようなヘッダーを利用する事で防御機能を有効にできます:

X-XSS-Protection: 1

クロスサイト スクリプティング攻撃が検知されると、Internet Explorer 8 および 9は攻撃をブロックするためにサーバーから返された Web ページに可能な限り最小限の修正を加えようとします。こちらにその例があります。多くの場合、修正は返されたページ中の 1 つまたは複数の文字を一文字 (“#”) に変更し、アウトバウンドの HTTP リクエストを反映したスクリプトを損壊させます。

サーバー サイドのロジックで XSS に対して安全なページは、以下のような HTTP レスポンス ヘッダーを使ってこの防御機能を無効にできます:

X-XSS-Protection: 0

2010年3月に、IE8 に対して X-XSS-Protection ヘッダーに mode=block というトークンを追加しました。

X-XSS-Protection: 1; mode=block

このトークンが存在する場合、潜在的な反射型 XSS 攻撃が検知されると、Internet Explorer はページをレンダリングしません。ページをサニタイズして外科的に XSS 攻撃を除去するのではなく、IE は “#” だけ表示します。XSS フィルターのブロック モードはこちらで試せます。

-Eric Lawrence

2011年4月15日

病に倒れ中

Filed under: Information — hebikuzure @ 5:25 PM

先週からちょっと病に倒れており、今週は立って歩くのも難しい状況のため、色々と話題はあるのですがこの Blog も更新できていません。
来週一杯はお休みさせていただくと思いますので、よろしくお願いいたします。

2011年4月2日

Microsoft MVP アワード受賞

Filed under: Information — hebikuzure @ 2:46 PM

Microsoft MVP for Internet Explorer を頂くことになりました。
この Blog で掲載した IE Blog などの IE 関係技術情報の私訳の活動や、勉強会の開催を評価していただけたようです。今年も多くの方に役立つようなコミュニティ活動を続けていきたいと思いますので、よろしくお願いいたします。

WordPress.com Blog.

%d人のブロガーが「いいね」をつけました。