書籍『Ajaxセキュリティ』に関する残念なお知らせ - ockeghem's blog
昨年の10月に刊行された書籍Ajaxセキュリティは,発刊直後に購入したが,しばらく積ん読になっていた。最近になって読み始めたのだが,いささかあきれる結果となった。HPの現役エンジニア2名の著作,一人は元SPI Dynamics社(WebInspectの開発元,HPが買収)出身,GIJOE氏の監訳ということで期待していたのだが,残念である。 残念だと思う主要な理由は,脆弱性への対策が十分に示されていないことだ。Ajaxであってもインジェクション系脆弱性が発生する可能性があること,むしろ従来型のWebアプリケーションよりもその可能性が広がることは説明されているが,肝心の対策が不十分だ。 本書第四章の後半には,対策として入力検査(バリデーション)が示されている。 4.6 適切な入力検査 4.7 リッチなユーザ入力のバリデーション しかし,入力検証だけでは,任意の文字入力を許す場合の対策はできない
HPのサーバのハードウェア(RAIDの状態)を監視する
とすれば、大抵の場合は大丈夫だと思います。 次に、snmpの拡張等を行うパッケージをダウンロードするのですが、先ほどの一覧ページには表示されていません。本来はサポートされないと思うのですが、ML350など他のハードウェア用のRPMをインストールして使用してもおそらく問題ないと思うので、今回はその方法をとります。 hpasmのインストール そこで、サポートページから今度は「ML350」を検索します。 「HP ProLiant ML350 G5 5120 1.86GHz SAS タワー型サーバー」→「ドライバ&ダウンロード」→「Red Hat Enterprise Linux 5 Server (x86-64)」と選択していけば、一覧ページに行き着くはずです。 「HPシステム ヘルス アプリケーションおよびInsightマネジメントエージェント for Red Hat Enterprise L
DBMによるテーブルデータベース その参 - mixi engineer blog
最近、忙しさを理由に英会話レッスンをサボりがちになってよろしくないなと猛省するmikioです。今回は、Tokyo CabinetのテーブルデータベースをTokyo Tyrantを使ってデータベースサーバとして利用する方法について述べます。 とりあえず使ってみる Tokyo CabinetとTokyo Tyrantの最新版(1.4.4と1.1.12)がリリースされていますので、インストールしておいてください。またも社員名簿を作ってみましょう。まずは、TTのサーバを実行します。データベースファイルの接尾辞には「.tct」を指定して、テーブルデータベースファイルと接続します。 ttserver casket.tct 別の端末でクライアントを操作して、"put" コマンドで社員を登録しましょう。「-sep」は、コラムのキーと値を区切る文字を指定するオプションです。"|" 以外でも任意の区切り文字を
MySQLに対するDrizzleの答え #1 スレッド管理編 - mixi engineer blog
先日、Drizzleのスレッド管理を担うコアの一部分がモジュール化され、勉強がてらMySQLのスレッド管理の設計を調べてみました。その時のメモ(だから文が少し固いかも)と、Drizzleでの戦略を今回のエントリーで公開します。 最後のDrizzleでは?セクションまではプログラミングの教科書に載っている様な典型的なセオリを述べているだけなので、MySQLのインターナルに詳しい方は最後まで飛ばした方が良いかもしれません。 ちなみにソースはMySQL 5.1とMySQL 6.0のドキュメントです http://dev.mysql.com/doc/refman/6.0/en/connection-threads.html http://dev.mysql.com/doc/refman/5.1/en/connection-threads.html 現在の仕組みと制限 現在のMySQLでは新たなクラ
Issue #4753: Faster opcode dispatch on gcc - moriyoshiの日記
追記: typo修正。テストコードに余計な「r」が含まれてたのと、「PICコード」とか間抜けなこと書いてたのを。 Issue #4753 職場でも話題になったので。 このパッチのコメントによると、threaded codeにしたほうが分岐予測が効果的に働き、15%-20%ほど速くなるとのこと。computed goto自体は、threadedにする都合によるものなので、実はあまり本質的ではない。 要は、分岐予測は分岐命令ごとに、特定の呼び出しパターンを検出することで行われるものなので、ディスパッチする箇所が1カ所になっているよりは複数箇所になっている方が有効に利用できるということらしい。 つまり、 int *op = opcodes; for (;;) { static void *table = { &&OP_ADD, &&OP_LOAD, ... }; goto table[*op];
文字列繰り返しベンチマーク take 3 - moriyoshiの日記
これの続き。 なんかかなりjitterがあるみたいでおかしな結果になってるんだけど、アルゴリズムごとの特徴は出てるので。 - Chrome FF3.0.5 FF3.1b2 IE6.0 IE8.0b2 Opera Safari WebKit/r40352 concat_op 32 203 150 747586 453 156 51.5 32 join 36 478 596.5 562.5 234.5 445.5 87.5 38 hybrid 5 99.5 108.5 156 195.5 195.5 23.5 18 newbulk 0 38 52.5 47 15.5 54.5 1.5 2 ちなみにnewbulkのコードは var newbulk = function(s, n) { var s, r = ''; while (n > 0) { if (n & 1) r += s; s += s
PHP :: Bug #45239 :: Hang (99.9%CPU) when encoding_translation is on
mbstring related Bug Reported by pumuckel@... Wed, 11 Jun 2008 15:02:26 +0000 PHP: 5.*-CVS-2009-02-04, OS: * Description: ------------ When mbstring.encoding_translation is set to on, and passing a variable like x=%FC (ISO '?' character) the mb lib is hanging in itself. Following settings are applyied (internal encoding is ISO): Multibyte Support enabled Multibyte string engine libmbfl HTTP input
アルゴリズム - 同じ文字列のn回繰り返しをlog n回で作る方法 : 404 Blog Not Found
2009年01月31日01:00 カテゴリLightweight LanguagesMath アルゴリズム - 同じ文字列のn回繰り返しをlog n回で作る方法 これなのですが.... 同じ文字列のn回繰り返しを作る最速の方法を探求してみた - muddy brown thang ちょっとした事情により、ある文字列のn回繰り返しを作る関数 (PHPでいうところのarray_repeat(), Perlで言うところの「"..." x n」、RubyやPythonで言うところの「"..." * n」) を高速に実装しなければならない状況に遭遇したのでベンチマークをとってみたところ、その結果がとても新鮮で驚いたので、これを共有しつつもダメ出ししてもらえないかなーと思って晒してみることに。 なぜかもっとシンプルな奴がなかったので。 以下、比較。初期値はIEにあわせてあります。Firefox/Saf
ウェブインターフェースデザインに関するスライド – 秋元
これはいい。ウェブのボタンやフォームの配置等についてのティップスがつまったプレゼン。元Yahoo.comのAjaxエヴァンジェリスト、現NetflixのUIエンジニアBill Scottさんの作によるものです。 UIの話で図がいっぱい入ってるから英語読まなくてもなんとなくわかるし。 Yahoo.comの映画レビューで使われているUIは僕も好きだなあ。グレード評価なので日本にそのまま使えるわけではないけど、レビューサイトとか作るとしたらぜひああいうの入れたいと思います。 Javascriptでその場でいろいろする場合にも、マウスの移動距離を考えよ、ってのを見てはっとしました。あんまり考えて無かったかもしれません。 327ページのスライドというのがすごいですね。新刊(↓)の宣伝とはいえ、ここまで出してしまうとは。 [am]0596516258[/am] 今回のプレゼンとは違いますけど、一昨年に
海の向こうの“セキュリティ” - 第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
■英国で国民のPCへの令状なし侵入捜査を許可する計画 国民のプライバシー侵害に繋がる危険性を強く感じさせる政策が次々と生まれているヨーロッパですが、年明け早々、英国では、警察が令状なしに国民のPCに侵入して捜査することを認める計画が密かに進んでいたことが明らかになり、当然のことながら人権団体などからの猛反発を受けています。 このような警察やMI5による「遠隔捜査(remote searching)」は、3年以上の禁固刑が科せられるような犯罪の抑止や検知をするのに「適切(proportionate)」かつ必要と、高官(senior officer) が「信じる(believe)」ものであれば認められるとしています。 また、フランスやドイツなど他のEU加盟国が、英国当局に対して、英国内のPCに侵入し、押収した証拠資料を引き渡すように要求することもできるようになるようです。 このような中、英国内
Session Adoptionが攻撃に有用な実例
(Last Updated On: 2018年8月18日)PHP:既知のセキュリティ脆弱性 – Session AdoptionでWebmailアプリケーションであるSquirrelMailとRoundCubeがこの攻撃に脆弱であることを紹介しました。 タイミング良く(?)同じくPHPベースのWebmailアプリであるIMPにクロスサイトスクリプティング脆弱性が発見され修正されました。(IMP-4.3.3未満/IMP-4.2.2未満) 試しに、ソースコードをチェックしてみました。 IMPはsession_regenerate_idを呼び出しています。この為、SquirrelMail/RoundCubeと比べるより安全です。しかし、対策は十分ではありませんでした。 PHP:既知のセキュリティ脆弱性 – Session Adoptionで紹介した簡単なテスト結果では MomongaLinux5
自作検査ツール - XSS編 - 2009-01-31 - T.Teradaの日記
ちょっと時間があいてしまいましたが、自作ツールのXSS検査について書きます。 XSSシグネチャ 検査文字列は基本的には2種類のみです。 □タイプA XXXXXX【元の値】'"<9 :&(;\qYYYYYY □タイプB XXXXXX【元の値】'":&(;\qYYYYYY ※ XXXXXX、YYYYYYはランダムな英数文字列ツールは、これらの文字列をパラメータとして与えて、HTMLのどのような文脈に出力されるのか(何らかの属性の値なのか、あるいはSCRIPTタグの内側かなど)、そして出力の際にどのようなエンコードやフィルタが施されるのかを調べて、脆弱性が存在する可能性を調べていきます。 例えば、パラメータ値が「'」や「"」で括られていない属性値に出力されるとします。 <INPUT type="text" name="foo" value=【ここに出る】>この場合、(正確に言うと一部例外はありま
$job->done('well'); # 書評 - モダンPerl入門 : 404 Blog Not Found
2009年02月09日00:00 カテゴリ書評/画評/品評Lightweight Languages $job->done('well'); # 書評 - モダンPerl入門 翔泳社再帰、じゃなかった斎木様より献本御礼。 モダンPerl入門 牧大輔 初出2009.02.03; 発売開始まで更新 モダンPerl入門とどいた - D-6 [相変わらず根無し]「モダンPerl入門」が届きました。翔泳社様、ありがとうございます>< うちにも届いたので早速拝見。 これほどの出来だとは! DMAKI++ あ…ありのまま 今 読んだ事を話すぜ! 本書「モダンPerl入門」を一言で言うと、「Perl Cookbook」と「Perl Best Practice」と「Advanced Perl Programming」と「ミニマルPerl」のエッセンスを取り出し、そしてそれを最新の「モード」へと昇華した一冊。
HTML-MobileJpCSS-0.02リリースしました - komoriyaのはてなダイアリー
http://search.cpan.org/~komoriya/HTML-MobileJpCSS-0.02/ 変更箇所については、 Craftworks » HTML::MobileJpCSS レビュー こちらのレビュー等を参考にさせていただきました。 変換定義の変数のスコープをmyからourに変更 hr の色指定は border-color じゃなくて、background-color でやりたかったので、new() のオプションで変換ルールのマッピングを上書きできると pod に書いてありましたが、バージョン 0.01 の現時点では実装がありませんでしたので以下のように修正しました。pod の style_map のコード例も誤字でキーが style になっていますので注意。 ご指摘の通りで不十分なものでしたので、定義を外部から変更できるようにして対応としました。 $HTML::Mo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
1番得するクレジットカード徹底比較
デブサミ2009で話します - D-6 [相変わらず根無し]