Content Security Policy is gaining steam, and we've seen a flurry of other complementary approaches that share a common goal: to minimize the impact of markup injection vulnerabilities by preventing the attacker from executing unauthorized JavaScript. We are so accustomed to thinking about markup injection...
X-Frame-Options, or solving the wrong problem
On modern computers, JavaScript allows you to exploit the limits of human perception: you can open, reposition, and close browser windows, or load and navigate away from specific HTML documents, without giving the user any chance to register this event, let alone react consciously.I have discussed some...
Fortsatt gambling
I sitt tilsvar til meg i DN i går fortsetter Bjørn Nesse Hunderi å argumentere for at kraftaksjer er så fantastiske investeringer for norske kommuner at vi må ha en lov som påtvinger dem eierskap. Det er imidlertid fortsatt slik at både empiri og teori tilser at en mer spredt investering gir høyere...
The old switcharoo
Another tiny proof-of-concept for the day:http://lcamtuf.coredump.cx/switch/While the idea is fairly trivial, it seems pretty frightening to me - and neatly illustrates one of the points I'm making in The Tangled Web. I highly doubt that even the most proficient and attentive users would be able to...
Ja, de gambler
Jeg kan forsikre Bjørn Nesse Hunderi (DN i går) om at jeg slett ikke er forarget over at kommuner er tvunget til å gamble med innbyggernes penger. Jeg presenterer bare noen fakta om hvilken risiko kommunene reelt sett tar, hvorfor dette ikke er hensiktsmessig og at det faktisk er i strid med kommuneloven....
Kommunal gambling
Kommunalt eierskap til kraftselskap har kostet Tromsø Kommune og Troms Fylkeskommune opp til halvannen milliard. Om noen fortsatt skulle være i tvil, det er risikabelt å eie enkeltaksjer.Dagens lovgivning tillater i praksis ikke salg av kraftselskaper til private. Kommuner som eier kraftselskap er dermed...
CSS :visited may be a bit overrated
OK, second time is a charm. This script is probably of some peripheral interest:http://lcamtuf.coredump.cx/cachetime/In the past two years or so, a majority of browser vendors decided to take a drastic step of severely crippling CSS :visited selectors in order to prevent websites from stealing your...
