タグ

ブックマーク / co3k.org (7)

  • どうして JWT をセッションに使っちゃうわけ? - co3k.org

    備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ?」というタイトルが不適切だとご指摘をいただいています。 その意見はもっともだと思いますので、現在、適切となるようにタイトルを調整しています。 ご迷惑およびお騒がせをして大変申し訳ございません。 文の表現についても改善の余地は大いにありそうですが、こちらは (すでにご意見を頂戴している関係で、) 主張が変わってしまわないように配慮しつつ慎重に調整させていただくかもしれません。 はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッシ

  • 俺氏、はじめての転職wwwww - co3k.org

    年末の超お忙しい時 [1] に転職エントリ失礼します! 2014 年 1 月 31 日をもって、いま勤めている会社を退職することになりました。いや、別に社名出せるんですけど、社名でググって以下の画像のように検索結果の 1 ページ目に退職エントリが出るみたいな事態を悪化させるのも申し訳ないかなと思うので、一応の配慮として社名は出さないでおきます(別に社名を出しての退職エントリが悪いというわけではないです)。 これまで 高校時代にアルバイトをはじめたときから数えると、現職で仕事をしてもう 8 年になります。こうして見るとやっぱり長いものです。はじめての IT 企業どころか、はじめて仕事をしてお金をもらうということをしたのが現職です。しかも自社の主力のプロダクトである OpenPNE を OSS として育てていき、そのプロダクトを中心に据えた業務を展開していくということで、非常に得がたい経験がた

    AKIMOTO
    AKIMOTO 2013/12/29
    お疲れさまです。とっくに辞めてたと勘違いしてた
  • PHP 5.3 でネイティブ関数の引数型エラー時の返り値が変更になったけど大丈夫? - co3k.org

    PHP 5.5.0 リリースおめでとうございます。 タイミング的に PHP 5.5 の話だと読み間違えた方 (もしくは「こいつ間違って PHP 5.3 って書いてやがるプギャー」と思った方) におかれましては、このテキーラはサービスだから、まず飲んで落ち着いてほしい。 はい。ということで、驚くべきことに、いまから、真顔で、 PHP 5.3 の変更点の話をします。でも PHP 5.5 が出るにあたってコードを見直す方もいるでしょうし、なんというかついでに気に掛けていただければと。 何の話か PHP 5.3 の「下位互換性のない変更点」として、マニュアルに以下のように示されている件についての話です。 引数を解釈する内部API が、PHP 5.3.x に同梱されている全ての拡張機能に 適用されるようになりました。つまり、互換性のないパラメーターが渡された場合、 この引数を解釈するAPIは NUL

  • Symfony のセキュリティリリースハンドリングがチョベリグになった話 (Symfony Advent Calender 2012 JP - 23日目) - co3k.org

    Symfony Advent Calendar 2012 JP の 23 日目です。なんか 17 日目で川原君から Note: Security Fix 周りの問題については、後日 @co3k が取り扱うようです。 —Symfony Advent Calendar JP 2012 - Day 17 — Symfony Advent Calendar 2012 - Day 17 v1.0 documentation と突然の CM (AA 略) をいただいていましたが、問題というか、 Symfony のセキュリティリリースハンドリング周りがちょこっと改善いたしましたのよ的な話をしていこうかと思います。 どう改善されたのサ 2012/12/18 に Symfony の公式ブログにて、 Security Issue Management Improvements というエントリが公開され、次のよ

  • 次のプロジェクトで PHP 5.4 の採用を提案するための 3 つのポイント (PHP 5.4 Advent Calendar 2011 19 日目) - co3k.org

    PHP 5.4 Advent Calendar 2011 19 日目です。 前回は @cocoitiban さん でした。 htmlspecialchars() のオプション追加については個人的にも気になっていたところ(Symfony2 の https://github.com/symfony/symfony/commit/053b42158e2f887b54a3e87977303d219530082f というコミットで気づいた)で、ふむふむと読ませていただきました。たとえば、文書型を考慮するようになると SGML 的に (あれ、 HTML 的にだっけ?) 違法である NULL 文字とかがさっくり消えて、 IE が NULL 文字を無視したりして XSS に繋がりうる問題 が回避できるようになったりするんですかねえ。 さて、これまでの Advent Calendar で触れられてきたように

  • Symfony2 の力を借りたセキュア開発 (Symfony Advent Calender 2011 JP - 18日目) - co3k.org

    Symfony Advent Calender 2011 JP 18日目です。前回は @hidenorigoto さんでした。リダイレクト・インターセプションは 2.0.0 が出る前のどこかのタイミングでデフォルトでオフになって焦った記憶があります。投稿処理などをしたタイミングでプロファイラを見る機会が多いので、有効にしておくと便利ですよね。 さて、 18 日目となるこのエントリでは、セキュリティの観点から Symfony2 の機能について簡単に観ていくことにします(当はしっかり見ていくつもりだったのですが、時間的制約から急遽簡単になりました!)。 ここでは Symfony Standard Edition v2.0.7 のインストール直後の構成、依存ライブラリを前提として解説します。また、 Web アプリケーションセキュリティに関する基的な知識を持っていることを前提として説明します。

  • Symfony 2 の sandbox を試してみました (web/check.php だけ) - co3k.org

    パリでおこなわれた Symfony Live 2010 にて、 Symfony 2 のプレビューリリース版が 2 月 17 日 19 時頃に GitHub で公開されました(ただし日時間では 18 日 3 時頃という日人泣かせな時間。今頃現地の方々は手元で Symfony 2 と戯れているんでしょうね、うらやましいです)。 http://github.com/symfony/symfony/ ということでもう寝たいのですが、 sandbox に web/check.php という動作環境確認用のフロントコントローラがいるので、それだけでも動作させてみました。 以下、取り急ぎ手順です: $ cd /path/to/document-root $ git clone git://github.com/symfony/symfony-sandbox.git $ cd symfony-sand

  • 1