[B! electron] Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。

cartman0 結局この問題どうなったん

2018/12/03 リンク

nacika_inscatolare os command とかもあるし別にElectronに限った話しじゃないに一票

2016/01/21 リンク

naga_sawa 実行プラットホームがWeb（ブラウザ）から通常デスクトップアプリになるわけだからさもありなん/そこを確実にセキュアにするというのはWebブラウザが通ってきたとおりなかなかに難しい

2016/01/11 リンク

rochefort <webview nodeintegration src="data:text/html,<script>require('child_process').exec('calc.exe',function(){})</script>"></webview>

2015/12/29 リンク

hatz48 chromeアプリでよくね、ってなるな・・・

electron
XSS

2015/12/28 リンク

hirata_yasuyuki 細工されたファイルをElectronアプリで開くと危険かな。ネイティブアプリでも同じだけどJSなのでexploitの難易度は低そう “Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない”

2015/12/27 リンク

AKIY 「ElectronアプリでXSSが一か所でも発生すると、PCの全機能が攻撃者によって利用できる。」「現在、多くのElectron製アプリケーションで任意コード実行可能な脆弱性が存在していることを確認しています。」

セキュリティ

2015/12/27 リンク

stoikheia ビビってる人多すぎ。触る前にアーキテクチャ見たら3秒で気づく点だけど、webアプリそのまま埋め込めるという話が先行したせいかな。

security

2015/12/26 リンク

orangestar こんにちは！こんにちは！

2015/12/26 リンク

azzr 任意コード実行が可能な脆弱性のあるネイティブアプリが危険、ていうのと同じことだよね。

2015/12/26 リンク

UDONCHAN ある

2015/12/26 リンク

muddydixon 白目

2015/12/26 リンク

umai_bow Renderer側でできることを制限するのがいいかな。たぶんアプリ的にもそのほうがすっきりする

2015/12/26 リンク

pmint Firefox OSのアプリなんかと同じ。なんでネット上のリソースをアプリのコードと混ぜるようなことするんだろ。普通しないよねっていうかXSS対策方法知らなそう。"XSSの存在に目をつむることもできた"…いや、防げよ。

2015/12/26 リンク

strawberryhunter 劣化してゆくデスクトップ。

未分類

2015/12/26 リンク

ya--mada そうなの？サンドボックスじゃないのか。

2015/12/26 リンク

kitaj なるほど! そりゃそうか．そのうちサンドボックスが導入されるのかも．

2015/12/26 リンク

MysticDoll Electronアプリ上からNodeの機能使えたりするのか

2015/12/25 リンク

tinsep19 そのうちもう少しきちんと書きますが、とりあえず時間がないので結論だけ書くと、タイトルが全てでElectronでアプリを書く場合は気合いと根性でXSSを発生させないようにしなければならない。これまでWebアプリケーション

2015/12/25 リンク

m_m3zono もちろん Atom Editor も？とすると悪意あるパッケージとか入れちゃうとアウトとか？実はもうあったりして？

2015/12/25 リンク

love0hate まぁつまるところネイティブアプリだしなあ

2015/12/25 リンク

lazex 任意のURLにアクセスする機能つけなければ別にいいんじゃないの？

electron
xss

2015/12/25 リンク

akabekobeko Android でも WebView.addJavascriptInterface で reflection たどられて Context 操作される問題があった。アプリ外のリソースをホスト可能な設計なら起き得る問題。いずれ Electron 側で対策されるだろう。

2015/12/25 リンク

pochi-mk つらい

2015/12/25 リンク

Rishatang エレクトロンでXSSが発生するのって具体的にはどういう状況なの？

2015/12/25 リンク

migimigi Adobe AirでHTMLコンテンツを表示したい時にはStageWebViewかHTMLLoaderを使えましたが、StageWebViewは基本HTML側から何も出来ず、HTMLLoaderはデフォルトでサンドボックスに隔離されていたと思います。

2015/12/25 リンク

tetsutalow うー。HTML5アプリでお気楽極楽、というわけにはとても行かない。というかヤバそう。普及前になんか抜本的対策ができれば良いけど。

2015/12/25 リンク

Lhankor_Mhy ほお。

セキュリティ

2015/12/25 リンク

ichiro2015 な？Flashの方が良かっただろ？

2015/12/25 リンク

dowhile Oh...

security

2015/12/25 リンク

はてなブックマーク

Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 - 葉っぱ日記

記事へのコメント71件

関連記事

Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 - 葉っぱ日記

ブックマークしたユーザー

同じサイトの新着

alertを出したいんだ俺たちは - 葉っぱ日記

[Joke] ローカルネットワークに対するクロスオリジンの攻撃からシステムを守る簡単な方法 - 葉っぱ日記

サイボウズバグハンター合宿に行ってきた - 葉っぱ日記

[SECURITY] podcast 第1回セキュリティの『アレ』 - 葉っぱ日記

いま人気の記事

年末はGmailも大掃除しましょう～Google公式がX（Twitter）で簡単な掃除方法を伝授／「Google ドライブ」の容量が足りなくなる前に不要なメールを一気に削除【やじうまの杜】

北海道で「この値段でここまでレベルが高いものを食べられるの？」という体験をしてもらいたい場合のおすすめありませんか？→道民の推しはこれ！

「なんで囲碁でも女のほうが弱いんですか？」の答え

【特集】メーカー製アルカリ電池どれが長持ち？8メーカー24種類を一挙テスト！

いま人気の記事 - テクノロジー

年末はGmailも大掃除しましょう～Google公式がX（Twitter）で簡単な掃除方法を伝授／「Google ドライブ」の容量が足りなくなる前に不要なメールを一気に削除【やじうまの杜】

【特集】メーカー製アルカリ電池どれが長持ち？8メーカー24種類を一挙テスト！

超知能がぬるっと誕生する可能性に実感が湧かない｜bioshok

Entra ID 初学者向けシリーズ第 1 弾 - 条件付きアクセス入門

新着記事 - テクノロジー

財務省の不適切なデータ解析について｜破綻国家研究所

GitHub - RamboRogers/netventory: Netventory is a fast single binary network scanning tool with a beautiful TUI and WebUI that runs on Linux, Mac or Windows.

狙われるSIM搭載パソコン

「Windows」を長年使ってきた人にお薦めの「Linux」ディストリビューション3選

はてなブックマーク

公式Twitter

はてなのサービス

気に入った記事をブックマーク

エントリーの編集

タイトルガイドライン

ブックマークしました

おすすめタグタグについて

よく使うタグすべて表示

Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 - 葉っぱ日記

おすすめタグタグについて

よく使うタグすべて表示

はてなブックマークで関心をシェアしよう

記事へのコメント71件

リンクを埋め込む

プレビュー

関連記事

usersに達しました！

Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 - 葉っぱ日記

ブックマークしたユーザー

ブックマークしたすべてのユーザー

同時期にブックマークされた記事

公式Twitter

はてなのサービス

よく使うタグ

よく使うタグ

はてなブックマークで
関心をシェアしよう