ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係
ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 by 金床 ---------------------------------- はじめに ---------------------------------- 筆者はウェブアプリケーション開発者であると同時にセキュリティ技術にも興味がある。自身がSeaSurfers MLというウェブアプリケーションセキュリティをテーマとしたメーリングリストを主催しており、またセキュリティコミュニティに多くの知人、友人がいる。しかし彼らとウェブアプリケーションなどのセキュリティ対策について意見を交換すると、違和感をおぼえることが多い。 彼らは脆弱性の原理についてとても詳しいのだが、以下のような会話が頻繁に発生するのである。 「…つまり原理的に考えて、このようにすればXSSは発生しないんだよ」 「な
【レポート】Java SE 7の「プロパティ」が見えてきた - setter/getterのないJavaへ (1) Java SE 7の新文法「プロパティ」とは | エンタープライズ | マイコミジャーナル
Java SEの次期バージョン(Java SE 7)での導入が検討されている「プロパティ」と、それに伴う言語仕様変更が全貌を現しつつある。java.net内のRemi Forax氏のブログによると、プロパティの仕様は現在ドラフト3を閲覧できる状態にあるという。本稿ではそのドキュメントを基に、プロパティが現時点でどのように検討されているのかを見ていきたい。 まず先に、現在のJava言語において「プロパティ」がどういう扱いなのかを復習しておきたい。 ご存じのとおりプロパティとは、クラスが持つ「状態」に対してアクセスするためのAPIだ。多くの場合、フィールドを実体に持つが、記述できるのはそれだけではない。 クラスの状態が変更された場合、副作用として何らかの処理を実行しなければならないこともある。そうしたクラス実装の詳細をカプセル化するための仕組みを、多くのプログラミング言語でプロパティと呼ぶが、
FlickrファウンダーCaterina Fake、Flickrの起源を語る
IT特化のヒアリング練習ポッドッキャスティング、Listen-ITの新しい回をアップしました。今回はFlickrファウンダーのCaterina Fakeのスピーチから取っています。練習素材は20秒ほどですが、元のスピーチは40分。結構面白い話だったので要旨を書き出しました。web2.0型事業の参考になるんじゃないでしょうか。 ちなみに、Flickrは、もともとMMORPG(多人数同時参加型オンラインRPG)だったそうです。知ってました?私は知りませんでした。はい。ゲームの中でユーザー同士がチャットする際にそこに写真をドラッグして共有できるように作ったのがFlickrで、最初はサイトも無かったとのこと。元のゲーム事業で増資できず、「あと一つだけ何かできる」という資金だけしかなくなったとき、元のゲームを続けるか、ゲームをシャットダウンしてFlickr開発にかけるかを、6人の社員で投票して選び、
小飼弾のアルファギークに逢いたい:#6 IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(前編) JavaScriptのイケてないところ|gihyo.jp … 技術評論社
今回はShibuya.jsなどJavaScript界で活躍中のamachangこと天野仁史さんと、mixi、はてなや最近ではIPAなどさまざまなWebサイト・サービスのセキュリティ脆弱性を指摘(?)していることで知られるHamachiya2さん(はまちちゃん)のお2人がゲストです。まずは2人の馴れ初めから…。 編集部注) 本対談は2007年3月に行われたものです。 出会い 弾:で、お2人の馴れ初めは? 天野(以下、天):mixiで俺が「マイミクなってください」ってところから始まった。 Hamachiya2(以下、は):はい。ナンパされちゃいました。 弾:はまち釣り(笑)。 天:マイミクなってくださいってとこから始まって、そしたら(はまちちゃんが)JavaScriptを高速化してる人だ!っていうことで、デブサミのときに見に来てくれたんです。 JavaScriptのライブラリ 天:
Googleによるマルウェア論文:Geekなぺーじ
「The Ghost In The Browser Analysis of Web-based Malware」というUsenixの論文がありました。 PDFがダウンロード可能なので、興味のある方は読んでみる事をお勧めします。 この論文は、HotBots 07というボットネットに関してのWorkshopで、他に発表されていた論文も面白そうでした(まだ他のは読んでいません)。 NATやファイアウォールの普及によって、最近ではワーム(Worm)の勢いが衰えてきて、マルウェア作者にとってはWebが活動の主体になりつつあるそうです。 この論文は、Google社の社員5人によって書かれています。 Googleのクローラが収集しているWebページリポジトリを利用して解析を行った論文です。 この論文では、ふるいにかけたURLをバーチャルマシン上のInternet Explorerに渡して実行状況をモニタ
XSS対策:JavaScriptなどのエスケープ - ockeghem's blog
昨日の日記に対して、id:ikepyonさんからトラックバックを頂戴した。内容はそちら(Tipsと考え方とXSS対策)を読んでいただくとして、興味深いテーマなので少し突っ込んでみたい。 # 日によって「です・ます」で書いたり、「だ・である」で書いているのは気分の問題なので、あまり気にしないでいただきたい Tipsだけでなく、物事の本質を見極め、何が危険で、何が安全なのかということを考える必要があると思う。 昨日の記事は、(一般的な)XSS対策として、どの文字をエスケープするのが「本質的」だったかを考えたかったのであって、あれをTipsととらえると確かに失敗する。 JavaScriptのスクリプトなどが入っている場合も昨日と同じ方法論で考えることは可能である。まずはこれを検討してみよう。 スクリプトがonXXXのイベントハンドラとして記述されている場合 この場合は、HTMLタグの属性値として
Karetta|Gaucheプログラミング|「Lisp脳」の謎に迫る - Schemeプログラマの発想
この原稿の最新版について この原稿に加筆した最新版が書籍「プログラミングGauche」に収録されています。 引用や紹介をされる方はなるべく書籍収録版を参照してください。 他の言語のプログラマがSchemeプログラムを書くとき、 どうしても発想が手続き的(procedural)になりがちです。 LispプログラマやSchemeプログラマの発想は手続き的な発想とはどうも違うらしい、 ということは分かるのですが、具体的に何が違うのでしょうか? ここではこの謎に迫ってみましょう。 実例 例えばこんな例題があります。 1から100までの数をプリントするプログラムを書け。ただし3の倍数のときは数の代わりに「Fizz」と、5の倍数のときは「Buzz」とプリントし、3と5両方の倍数の場合には「FizzBuzz」とプリントすること。 どうしてプログラマに・・・プログラムが書けないのか? (原題: Why
「本当は使いにくいMacOSX」を使い易くする - 妄想科學日報
ganaware (Nayuta Taga) · GitHub 使い慣れた環境と違うものを使い難いと感じるのはまあ当然のことで、私にとってはWinの方がよほど使い難いのだが、実のところ使い難さの半分ぐらいは違いよりもむしろ無知からくるものであることが多い。 私の知る範囲で不満点をフォロー。 多くのダイアログでキーボードショートカットが定義されていないのが非常に困ります。(あるいは定義されていてもボタン上に「次へ(N)」などと表示されていないのでショートカットを知る手段がありません)。いちいちTABキーでフォーカスを移動させるのが流儀なのでしょうか? それともいちいちマウスでクリックする必要があるのでしょうか? (この、移動速度がクソ遅いマウスで?) デフォルトではできない。システム環境設定のキーボードから「フルキーボードアクセス」を有効にすることでTabまたは矢印キーによるフォーカス変更が
社内情報共有に「ブログ+RSS」が浮上:ITpro
社内の情報伝達を徹底させる手段として、サーバー型のRSS(RDF/Rich Site Summary)リーダーが注目を集め出した。情報共有策として、ブログを導入する企業が増えていることが背景にある。グループウエア製品などでもRSS対応が進み始めた。 日経コンピュータ2006年5月15日号の記事を原則としてそのまま掲載しています。執筆時の情報に基づいているため、社名や登場人物の肩書きを含め現在は状況が変わっている可能性がありますが、SaaSやEnterprise2.0の動向に興味のある方に有益な情報であることは変わりません。 サッポロ飲料は2006年4月、社内ブログの立ち上げと同時に、サーバー型RSSリーダーを導入した。営業情報や新商品の発売情報、顧客窓口への問い合わせ内容など7種のブログを用意。閲覧だけでなく、500人いる全社員が書き込むことによる情報の充実を目指す。 ブログを閲覧するだけ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Gmailで使える隠しラベルコマンドいろいろ | P O P * P O P