Dark Reading | Security | Protect The Business - ...
脆弱性検査の手法(欠陥挿入=Fault Injection)に関する特許を持つCenzicが、SPIを特許侵害で訴えたという話です。
関連:
・Cenzicの特許
United States Patent: 7185232
・Sanctum(Watchfire/IBM)も特許を持っているようです
United States Patent: 6584569
Dark Reading | Security | Protect The Business - ...
JSON、Ajaxのセキュリティというと、eval云々や、XSSやJavaScript Hacking的なことが話のメインになってしまうことがあります。
でも、最大の危険性は別のところにあるよ、という話です。簡単に言うと、この記事では、従来サーバ側にあったロジック処理コードがクライアント側に移動してしまうことの危険性を強調しています。
私も同じ事を考えてました。
Mozilla Aims At Cross-Site Scripting With FF3 - InternetNews.
GNUCITIZEN経由。
ついにXMLHttpRequest(XHR)でクロスドメインなアクセスが!
Flashのcrossdomain.xmlみたいなセキュリティモデルを採用したXHRが、Firefox3のAlpha7に実装されるそうです。
ベースはW3CのDraftである「Cross-Origin Resource Sharing」とのこと。
GNUCITIZENの記事ではボロクソに言われています。確かに、これがXSS対策だと言われると、そういう面も無くはないけど、だいぶ話がズレてるんじゃない?と思ってしまいます。
これとは別に、Cookieが飛ばなくてクロスドメインアクセス可能なXHRという案もあったはず。
もう少し調べてみたいなと思います。
