高木浩光@自宅の日記 - 明日帰国■ 明日帰国 この日付は日本時間。今日で仕事は終わり。明日帰る。 昨日、ホテルの近くに日本人街があるというので、夕飯に行ってきた。中華街にあるような門の日本版らしきものが……。 紀伊国屋書店サンフランシスコ店があった。改装したのか拡張したのか、店が準備途中のままオープンしていた。半分くらいの棚にはまだ本が置かれておらず、何を置く予定かを示す紙のメモが貼られていた。 そして、奥の壁一列には全部本が納められており、のきなみこんな紙が……。
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
必要なのはサニタイズではなくデコードとエンコード - z0racの日記
最近ウェブで遊びだしたプログラマとしては、こっち方面のプログラミングでは何だかなぁという話が多い。 「サニタイズ言うなキャンペーン」私の解釈 この記事は、間違っているわけではないが、「サニタイズ」の問題に対する言及としては足りない。 まず、最初の問題として、ウェブアプリケーションに於ける入力と出力のアンバランスさがある。ウェブアプリケーションの入力は「文字列」で出力は「HTML」なのだ。この問題に対応するために、内部表現を「文字列」に統一し出力時に「HTML」エンコードする、という言及記事の考えは正しい。 しかし、内部表現を「文字列」に統一してしまうと、そのアプリケーションは「文字列」しか扱えなくなるのである。「文字列」以外を扱うアプリケーションでは問題が生じる。と云うより、記事の考え方では問題解決にならない。 正しくは、内部表現と外部データを明確に分けて考えなければならない。 入力データ
サニタイズ | 鳩丸ぐろっさり (用語集)
話題 : セキュリティ 英単語 "sanitize" は「消毒してきれいにする」というような意味です。プログラミングの用語としては、危険な文字列を含む「汚染された」入力から危険な文字を取り除き、無害化することを指します。 たとえば、フォームで入力された文字を表示するような場合、入力された文字列を HTML 文書の中に出力することになります。単純に入力されたものをそのまま出力していると、ユーザが "<script>" のような文字列を入力したときにどうなるか、想像に難くありません。これは「クロスサイトスクリプティング脆弱性」と呼ばれるセキュリティホールとなります。 HTML では < (小なり記号)、> (大なり記号)、& (アンパサンド)、 " (二重引用符) などがマークとして解釈される場合がありますので、ユーザが入力したこれらの文字がそのまま出力されてしまうと危険です。そこで、これらが
HPがデルを引き離して単独首位、PC出荷台数速報 - @IT
2008/01/17 米調査会社のガートナーは1月16日、2007年の世界のPC出荷台数統計速報を公表した。2007年の1年間でのPC出荷台数は前年比13.4%の伸びで2億7120万台。地域別に見ると新興国を多く含むヨーロッパ、中東、アフリカを合わせたEMEA地域が14.7%の伸びで9200万台、アジア・パシフィック地域が18.7%で7070万台と高い伸びを示したの対して、米国では5.3%の伸びで6420万台、日本では5.1%の伸びで1390万台と低調だった。2006年に2位だった米国市場は、アジア・パシフィックに追い越された形だ。 メーカー別に市場シェアを見ると、2006年に15.9%の同率シェアでトップだったヒューレット・パッカードとデルの明暗が分かれた。30.0%の記録的な伸びを達成して18.2%のシェアで単独首位を獲得したヒューレット・パッカードに対して、デルのPC出荷台数の伸びは
インターネットと「私刑」化する社会 インターネット-最新ニュース:IT-PLUS
電通、三菱UFJ信託銀行など大手企業が相次ぎ参入を表明する「情報銀行」。ここに挑むベンチャー企業がDataSign(東京・渋谷)だ。同社の太田祐一社長は情報銀行という言葉が生まれる…続き 中部電力が「情報銀行」参入へ 電力データを活用 [有料会員限定] 「情報銀行」説明会に200社 データ流通の枠組み始動
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.yukan-fuji.com/archives/2008/01/post_12334.html