「xhr」を含む日記 RSS

はてなキーワード: xhrとは

2023-01-20

pixivの削除済み・非公開イラスト作品を探すための自分メモ


pixiv内で完結する方法ではないため海外無断転載サイト等に画像のもの存在していることが前提。


Chrome検索したい非公開作品があるブックマークページを開き、F12で開発者ツールを開いてF5で更新する。

多分Nameというボックス内に色々出てくる。

ゴチャゴチャした上の方に『Fetch/XHRとあるので選択し、『bookmarks?tag=』で始まるファイルか何かの『Preview』を開く。

Preview』の『▶body』、『▶works』の順で開くとブックマーク作品題名が並んでいて、その中に『-----』という名前のものがあればそれが目当ての非公開作品についての情報

複数ある場合でもブックマークのページと同じ順番なため照らし合わせれば問題なく判別可能

情報と言ってもタグ投稿日時、作者名までほとんど消去されているため確認できるのはURL作品IDのみ。

『{id: "********", title: "-----",~』となっている部分のアスタリスク部分が作品IDであり今回必要情報


次に他タブで検索ページを開き、pixiv作品ID検索する。

仮に作品IDが12345678であった場合検索ワードは『pixiv 12345678』、作品ID部分を””で囲み完全一検索にすると余計な情報も省きやすい。

転載サイト等に転載元のURL表記がある場合この検索でひっかかり、目的作品に辿り着けるはず。

2018-03-07

javascriptの同期ajax強制無効にしてほしい

jsxhrを同期的に出来る機能がある

それ使うと通信中画面全く操作できなくなるし不便すぎる

非推奨にもなってる

なのに使いたがるような人がいてすごくうざい

通信中の操作ブロックするとかありえない

なのに非同期面倒だし複雑だからとか言ってライブラリとか共通部分を強制同期的に実装してる

そのせいで自分で作る部分まで同期的になるしデバッグ作業中とかでもかなりストレスたまる

迷惑この上ない

一般ユーザ向けに公開されてるサービスならともかく企業向けだからまり細かな使い勝手でどうこう言われないからと直す気が全くない

いっそ機能として廃止して強制非同期にしてくれたらなぁ

2017-03-22

JINSマジでやばい

https://twitter.com/piyokango/status/844361226767380481

という話があり、その現物なのだが、

http://www.freezepage.com/1490165400GAZZVSXBDT

であるキャッシュの freezepage ですまんが、まあいいだろ。

これ自体はハセカラ界隈のスクリプトキディが show tables かなんかを実行する jsp 一枚仕込んだというだけの話なのだと思うが、問題JINS対応だ。

t_jins_gmo_brandtoken_cancel_if_rireki

t_jins_gmo_brandtoken_change_if_rireki

t_jins_gmo_brandtoken_entry_if_rireki

t_jins_gmo_brandtoken_exec_if_rireki

などといったテーブルから、おそらく GMO ペイメントトークン決済を利用しているものと思われる。これはクレジットカード番号を一切 JINS 側のサーバーに通過させなくていいような構成になっており、今回のこの事例から JINS 側が保存していたクレジットカード情報流出した可能性は、恐らくない。

しかしながら今回攻撃されたドメイン https://www.jins.com/ にはクレジットカード入力ページが存在している( http://s.ssig33.com/gyazo/d09c0f5915f84eab8c8712eb0d23150d )。

この為、こうしたページも不正に改造されていた場合攻撃を受けていた期間に入力されていたクレジットカード番号が不正流出している可能性がある。

ところで JINS 側はこうした問題認識して今朝未明メンテナンスを行なっていたようである( https://www.jins.com/jp/news/2017/03/322.html )。

推測するに、調査をしたところクレジットカード番号入力ページの jsp なりなんなりが改竄されていた事実はとりあえず確認できなかったので、特になんの発表もしていないのであろう。ところで JINS は 4 年前にもサイトクラックされクレジットカード番号を流出させた経験がある( https://www.jins.com/jp/illegal-access/info.pdf )。にも関わらずこの対応ちょっとおざなりすぎではないだろうか。

現実可能性は低いと思うが、例えば以下のような可能性が考えられる。

1. ハセカラ関係者っぽく見せかけた低レベルクラック ↑ を行なう

2. その裏でクレジットカード番号入力ページに本気のクラックを仕掛ける

3. 1. でしかけたハセカラクラックが露見する前に 2. のクラックについては撤収して 1. の証拠だけを残しつつ 2. の証拠を消す

このようにすることで、クレジットカード情報収集していたという事実関係各位に認識させる時間可能な限り遅らせ、不正な買い物などをする時間の余裕を稼ぐことができる、かもしれない。もちろんこんなことが行なわれた可能性はほとんどなくて、事実バカスクリプトキディ適当に遊んでいただけなのだと思う。しかしこの可能性を無視していいとは思えない。

こうした可能性について調査するには 7 時間では全く足りないし、あるいは一度外部に大々的に告知をしてサービスを停止するなどの対処必要ではないか

JINS は 4 年前のクラック被害から何も学んでおらずユーザーデータ資産を防護する基本的姿勢が欠けているとしか思えない。

2015-12-28

セキュリティ

あれ?

xhrってクロスドメイン通信できなくされてるからxhrで悪い人が自分の鯖に個人情報を送りつけたりできないんだよね。

でも最近の鯖が許可したら通信できるってあるけど、あれダメな奴じゃないの?

証明書みたいのもいらずにヘッダに「許可する」って書くだけでどこからでもアクセスできるようにできるから悪い人が許可するってやって自分のとこに個人情報送らせれる?

ん?それ以前にクロスドメイン通信できてなくても実際鯖自体アクセスは行ってるわけだから鯖側で読み取ることは前からできてた?

おしえてえらいひと。

2013-09-26

HTML5アプリケーションとかでも良いから誰か名称つけようよ

下見て思った。

http://mizchi.hatenablog.com/entry/2013/09/25/190313

そもそもこのスタイルキー名称が無いため

知識が離散して蓄積されてない気がする。

シングルページスタイルJavaScriptWebアプリケーションアーキテクチャ

ブラウザHTMLで動くよ!

JavaScriptMVCライブラリを利用するよ!

HTML5ヒストリー関連を利用するよ!

REST-APIを利用するよ!

メリットとかデメリットとかはいつか気が向いたら書く。

とりあえず今回は、乱立する名称候補たちを紹介

HTML5 Applications

 なんか一番ポピュラー。だけどカオス

 HTML5って言いたいだけのJavaScrtipt使ったスマホアプリフレームワークとかも呼ばれたり。

Rich Internet Applications

 このスタイル名称じゃなく、もっと汎用的なもん。

 HTML5とか言われる前にJavaScriptアプリケーションやるとこれになってた。

 GWTとかExtJS,YUIとか懐かしい。

Single Page Application

 アーキテクチャとしては、もっとも正解の名前なのだが、NET系界隈でしかきかん。

 ASP.NET MVC Single Page Applicationは、キー要素がかなり詰まってて、参考になる。

 このあたりのやろうとしてる奴は一度触っておくが吉

Large-scale JavaScript aplication

 JavaScriptMVCライブラリAMD等の依存モジュール管理とか

 最近流行を組み合わせて巨大なアプリを作る指針。

 英語ソースだと結構ポピュラーな感じの名前だが、指針的な匂いアプリケーションとは言わない感も。

 日本でも一時期、大規模Javascript開発とか言われてたが、Bakcbone.jsって名前に変わった。

JavaScript Web Applications

 Node.jsと被るために、このアーキテクチャの説明にはあんまり使われない。

 動物本の、

 「ステートフルJavaScript MVCアーキテクチャに基づくWebアプリケーションの状態管理

 原題は、「JavaScript Web Applications」

 これだけで、どのぐらい困ったか分かる感じ。

 ちなみに、JavascriptMVCアーキテクチャの解説本としてはありなので読むが吉

ダイナミックHTML

 マイクロソフト原理主義

 といっても、10年ぐらい前からXHRHTMLDOMほげるのは

 実はあんまり変わってない。

Thin Server Architecture

 Java界隈から出したかっただけ。oracleが呼んでた気がする。

 Struts死んだけど、JSFでやるの?JSF無理筋だから違うフレームワーク作るの。

 JSFみたいな抽象化使い始めると、コボルみたいにJava世界に閉じそうだけど大丈夫なの?

JavaScriptMVC

 同名のライブラリがあるせいであまり使われない名称

 このあたりのライブラリ使えば、簡単にこのスタイルアプリ作れると思ってるでしょ?

 残念ー、あくまでもMVC構造しか提供しないんすよー

Backbone.js

 上記の、キー検索ワード

 ライブラリ名称なのだが、背負ってるものは、大体この界隈全て

 だけど、使えば、この界隈のアプリが簡単に作れるかというと、そうでもない。

と、まあ名前はいっぱいあるけど、知られてないという感じもする

 
ログイン ユーザー登録
ようこそ ゲスト さん