2月頃、リッチテキストエディタの TinyMCE のXSS脆弱性を報告しました。 特にセキュリティの修正をしたといったアナウンスはありませんが、数日前に公開された4.3.9でこの問題が修正されています。Twitterのプロフィールにも、「World's #1 most popular open source #WYSIWYG editor」 とあるくらい、世界的にも非常によく使われているリッチテキストエディタのようですので、更新を促すためにこの記事を書きます。 XSS脆弱性は 4.3.8 以下のバージョンにあります。 僕の知る限りでは、TinyMCEのPreview Plugin機能を使っていなければ影響を受けません。 この機能を呼び出さないようにするか、4.3.9以上に更新してください。 これ以下は、技術的な説明になります。この脆弱性の発生原因は、技術的にも少し面白いです。 発火する場所
先日PHPカンファレンス北海道2016にて「『例えば、PHPを避ける』以降PHPはどれだけ安全になったか」と題して基調講演を担当致しました。その際のスライドはこちら。 そうしたところ、以下のご指摘をいただきました。 @ockeghem スライド拝見しました。39番目のスライドですが、バインドのタイミングでintにキャストするのはちょっと例として良くない気がします。意図的にオーバーフローを起こすことで想定外のレコードの取得を許してしまいそうです。キャストしない方がまだ安全だと思うのですが。 SQLデータベースは、int型よりも大きな桁数を扱える場合があるので、intへのキャストを避けた方がよいという指摘は一般論としてはもっともなものだと考えます。PHPの場合、9223372036854775807を越える数字文字列をint型にキャストすると、9223372036854775807が返ります(
クラウドソーシングの資格なら日本クラウドソーシング検定協会 日本クラウドソーシング検定協会®はクラウドソーシングに必要なスキルのための資格を創出していきます。 まずはWEBライティング技能検定試験を行っていきます。 WEBライティング技能検定試験は2つの指標から資格認定を行うものです。 1.WEBライティング技能検定試験 基礎編では、主に社会人としてのマナーやクラウドソーシングという働き方への理解があるかどうかを問います。 2.WEBライティング技能検定試験 実践編では、クラウドソーシングを介して行うライティング全般に対して、十分にライティング能力があるかどうかを問います。 こんなもんに金取るとかすげえなと思ったら内容がエグすぎて笑った。 WEBライティング技能検定|一般社団法人日本クラウドソーシング検定協会 「WEBライティング技能検定」は月1回のWEB上で行う検定試験です。 「WEBラ
本文は「東京は目下華氏百五十度の熱度にて避難民は到底此苦熱に堪へず死亡する者数知れずと」。華氏150度というと摂氏65度! ないない。
関東大震災で朝鮮人虐殺をひき起こした主力は軍隊でも警察でもなく、「井戸に毒」「暴動」などのデマに踊らされた民衆の自警団でした。 井戸に毒のデマはカウンターにより抑えられたものの、火事場泥棒に関する情報が徐々に盛り上がると同時に、私刑や自警団を言い出す向きが出てきます。 前回まとめ(1)の後、4月17日午前2時位までのデマツイ、および火事場泥棒、自警団に言及するツィートを集めました。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く