shellshock と sudo - hogehoge @teramako
CVE-2014-6271を発端とする bash の脆弱性、いわゆる ShellShock って呼ばれている奴。環境変数に仕込んだ任意のコマンドを実行できてしまうってことから、CGI との組み合わせが取り沙汰されている。 その頃 sudo の設定の勉強をしていたので、ふと気になったのが、sudoの設定で環境変数を持ち越して使用することができる env_keep の設定。sudo で root としてbashを実行させれば、任意のコマンドを特権昇格して実行できちゃうんじゃ? というもの。 早速試してみた。 普通に実行したもの $ export ORACLE_SID='() { :;}; echo Vulnerability !!!' $ cat /usr/local/bin/testcmd #!/bin/bash -x id printenv ORACLE_SID $ /usr/local/
Firefox 34(Nightly)で String.raw が実装された件とTaggedTemplateについて - hogehoge @teramako
1039774 - Implement ES6 String.raw 仕様 12.3.7 Tagged Templates 21.1.2.4 String.raw TemplateLiteral の続き。 前回は、`(バッククォート) でくくることで、ヒアドキュメント的な複数行に渡る文字列の生成ができる事、${expression}で式の埋め込みができる事を書いた。 実は、func`...` という構文の追加もあり、funcを文字列の素となる値を引数に呼び出す機能もある。String.rawはそのためのメソッドだ。func`...`みたいなコードはTaggedTemplateと呼ばれている。 String.raw`Title: ${document.title}` // => "Title: hogehoge@teramako" // === `Titlte: ${document.tit
アドオンとかプラグインとか拡張機能とか - hogehoge @teramako
Firefox、プラグイン不使用に向けた対応強化 | マイナビニュース Firefoxが段階的にプラグインを廃止すると発表(情報追記あり) Firefoxがプラグインを廃止する方向に|アドオンと勘違いする人多数で大混乱 | アイデアハッカー Mozilla、ホワイトリストに登録されていない「Firefox」プラグインを原則ブロックへ - 窓の杜 まぁあることないこと言われていて、「アドオンじゃなくてプラグインか」みたいなコメントも多く散見されるわけだが。 Mozilla 的には以下の様な定義になっている。 アドオンは、以下の 3 種類に分けられます: 拡張機能 拡張機能は、Firefox に新しい機能を追加したり既存の機能を変更したりします。拡張機能には、広告の表示をブロックしたり、Web サイトから動画をダウンロードしたり、Facebook や Twitter を便利に利用するもの、また
Firefox 22 個人的まとめ - hogehoge @teramako
WebPlatform 系 time 要素の実装 (Bug 629801) data 要素の実装 (Bug 839371) input[range] 要素の実装 (Bug 841948) [WebComponents] document.register の実装 (Bug 783129 about:config から dom.webcomponents.enabled を true にする必要あり FormData の append に filename をサポート (Bug 690659 https://dvcs.w3.org/hg/xhr/raw-file/tip/Overview.html#dom-formdata-append の第3引数のこと [CSS] Flexbox をデフォルトでサポート (Bug 841876) [CSS] @support , CSS.supports(
Firefox 21 個人的まとめ - hogehoge @teramako
ちょっとフライング気味だけど WebPlatform 系 Style[scoped] のサポート (Bug 508725) <main> のサポート (Bug 820508) window.crypto.getRadomValues (Bug 440046) Web Cryptography API[W3C] window.crypto.getRandomValues - Document Object Model (DOM) | MDN window.location.origin (Bug 828261) origin - URL Standard[WHATWG] decodeAudioData (Bug 792263) decodeAudioData - Web Audio API[W3C] parseInt がオクテット数値を考慮しない (Bug 786135) parseInt(
Firefox 17 から Map と Set がイテラブルになった件について - hogehoge @teramako
Firefox 17.0 リリースノート さて、Firefox 17 がリリースされました。そのリリースノートに、以下の様なのがあります。 JavaScript の Maps と Sets がイテラブル (反復可能なオブジェクト) として利用できるようなりました。 これはどういうことなのかを少し解説。といっても、内部のECMAScript仕様に詳しいわけではないので、その辺りは、Constellationさんに譲りたいと思います(ぉ あくまでMozilla実装での使い方ということで。 var map = new Map([ ["a", "A"], ["b", "B"] ]); map.set("c", "C"); console.log( map.get("a"), map.get("b"), map.get("c") ); // "A B C" ここまでは今までの基本です。 イテラブルと
IE対応 - hogehoge @teramako
クロスブラウザの難しさ - Life like a clown ごめんなさい。 IEの厳しさをなめてました。 言い訳しておくと、僕はWebの開発者じゃない。ので、自分の使うブラウザでしか確認してません。基本的にはクロスプラットフォームなブラウザである、Firefox, Chrome, Opera くらいでしか確認しません。 んで、僕はWindowsXPしか持ってないので、IE9で確認したくても普通では無理。なので、窓の杜 - 【NEWS】Microsoft、互換性検証を目的としたIE6/7/8/9環境の仮想マシンイメージを更新を使用してVirtualPC上からWindows7を起動して確認してみました。 うん、これは酷いw まあそのままIEは捨てる、でも良かったけど、折角指摘いただいたので最低限の処置は施そうかと思い、RGBAの指定を止めて、RGBに変更したよ。 追記 background
-webkit-border-radius なんて書いているWeb開発者は腹を切って死ぬべきである - hogehoge @teramako
地獄の火の中に投げ込むものである。 いや、まあそんなネタはどうでも良くて... そのベンダー接頭辞はいつまで書くの? | Unformed Building 書いてあることは至極真っ当なこと。もろ手をあげて賛成である。 また、 ベンダー拡張プリフィックスはそれそのものがWebを破壊することはないし、ベンダー独自のプロパティーや関数が数万追加されて使われまくったとしても本当はWebは壊れない。またその文法が変更されても修正または追加すれば対応できるし、その余裕は十分にある。つまり壊れるのはほとんど全てのケースで開発者の怠慢に過ぎないので、ちゃんと仕様と実装を理解して必要ならば寝る間を惜しんで修正作業に血眼になるべき。みたいな実践を伴わない意識を僕は持っている。 なので憂うべきこの現状は、IE6が拡散して残り続けたことと同じようにベンダー側ではなくWeb開発者側に非があると思っている。 ベンダ
Mozilla の H.264 サポートについてのメモ - hogehoge @teramako
Mozilla が H.264 をサポートへ、webM 一本化を断念 - Engadget Japanese Video, Mobile, and the Open Web ✩ Mozilla Hacks – the Web developer blog Video, user experience and our mission | Mitchell's Blog この記事、物凄い違和感があったんだよね。 「Mozilla が H.264 をサポートへ」っていうと直接そのコーデックが製品内に内蔵されてくるかの様に感じられる。でも、Mozilla の製品はオープンソースソフトウェアであるからして、そんなことが対内的にも対外的にも許されるの? ── という違和感。 ということで、Twitterで呟いていたら、中の人からの助言が。 StagefrightというAndoroidに使用されるメディ
Minibuffer + LDRize + ReblogCommand Greasemonkey対応版の作り方 - hogehoge @teramako
Greasemonkeyにパッチを当てなくても動かす方法はあるのに、なんで誰もコレを言わないのか不思議なんだ。 たしか自分は言ったはず....と思って検索したが日記には見つからず.... Twitter上でぼそっと呟いただけだった。 はい、GreasemonkeyやScriptishでの問題は、それぞれのスクリプトが独自のコンテキストで動くためオブジェクトが共有されないことだった。そのためwindow.Minibufferを参照できない事象が発生していたわけだ。 だったら、同一コンテキストで動くように、concatnatenateしちゃえば良いじゃない wget http://userscripts.org/scripts/source/11759.user.js -O minibufer.user.js wget http://userscripts.org/scripts/source
cat コマンドでネコを走らせる - hogehoge @teramako
というツイートが昨日RTで流れてきたので、面白いなと思ってやってみている。 https://github.com/teramako/scripts/blob/master/shell/cat.sh cat コマンドは本来 concatenate をするコマンドである。ということで、これに反した場合にネコを出して矯正させようという趣旨である。単なる bash スクリプトである。~/bin/catとして放り込むのが良かろう。 C言語版、Perl版等のもうちょっと高級な言語での書き直しを望みます。(僕はCもPerlも得意じゃないので...) 標準入力がない、かつ、ファイルが2つ以上指定されていない 標準入力がある、かつ、ファイルが1つ以上指定されていない 「標準入力がない、かつ、ファイルが指定されない」に修正 場合にネコがでる。 ずさーーーーとネコが流れてきて 最後に と注意される仕様。 因みに
Minibuffer Exploit - hogehoge @teramako
GreasemonkeyのユーザスクリプトであるMinibufferに脆弱性があるよって話。Scriptishでも同様ですよ Minibuffer for Greasemonkey Minibufferが動く状態で、↓のページにアクセスしてみよう http://www.paw.hi-ho.ne.jp/makochi/test/minibuffer.html ただし、Minibufferはしばらくメンテされていない様で、最近のGreasemonkeyでは動かない。GM_addStyleあたりでエラーがでるはず。現状使っている人は自身でパッチをあてて修正しているのではないかと思う。これについては、Firefox4でcan’t wrap XML objectsというエラーが出る件について | Web scratchあたりを参照 あと、Minibufferでピンと来ない人は、LDRizeを動かすた
【お願い】background-colorを指定してください - hogehoge @teramako
文字列を選択した時の挙動というかハイライト周りについて。 ブラウザ毎に挙動が違って面白いというか迷惑。 id:FTTH さんが画像がないとは何事だ。とコメントをくれたのでキャプチャしたよ。これでOK? 上下で背景が黒、白で分けて、それぞれに記述のスタイルを割り当てている。 divに背景色:黒、文字色:白 none: スタイルなし 背景色:画像で白、文字色:黒 背景色:白、文字色:黒 divに背景色:白、文字色:黒 none: スタイルなし 背景色:画像で黒、文字色:白 背景色:黒、文字色:白 Firefoxの場合 背景色によってハイライトが変わる。一番見やすい。 白地の場合 背景色:青、文字色:白 黒字の場合 背景色:白、文字色:青 GoogleChromeの場合 常に背景色:青、文字色:白 黒字の背景色が指定されていると、ハイライトされているか分かりにくかったりする。 そして、複数行選択
Firefoxのバグ、9分おきにフリーズする件について - hogehoge @teramako
Firefoxにバグ、9分おきにフリーズ | エンタープライズ | マイコミジャーナル 何だか気になるので調査 リンクを辿って、 Is your Firefox freezing at regular intervals? - More sleep, less work. Bug 686025 - nsNavHistory::AsyncExecuteLegacyQueries uses synchronous createStatement call instead of async createAsyncStatement call, blocks main thread に行く。 何が気になるのか どんな処理を行ったときにFirefoxがフリーズするほどの処理が走るのか 対象ユーザはどんな人か 何故9分おきなのか 対応策のアドオンは何をやっているのか 効果はあるのか どんなバグか 『n
Array.isArray - hogehoge @teramako
Firefoxでしか確認してないけど、Array.isArrayメソッドの優位性を知ったのでメモ。 <iframe id="testFrame" src="about:blank"> var iframe = document.getElementById("testFrame"); var doc = iframe.contentDocument; var s = doc.createElement("script"); s.textContent = "var hogehoge = [0,1,2,3,4,5,6]"; doc.body.appendChild(s); var array = iframe.contentWindow.hogehoge; まあ、重要なのは別ドキュメント内で作られたArrayインスタンスがあること。ここでは、変数arrayが別ドキュメント内のArrayインス
ITproの記事が酷い - hogehoge @teramako
JavaScriptの誤動作も - Internet Explorer 9の実力:ITpro いろいろ酷かったのでdisっておく。 例がダメ まず、1ページ目の『「非標準」の属性を参照できない』で、anchor要素に対してrel属性値を得るにはElement#getAttributeを使用しましょうという話。 まあ、この話自体はIE9の現状の仕様ってことで良いのだが、anchor要素のrel属性は旧HTMLでは「非標準」だったかもしれないが、HTML5ではきちんと定義がされている。よって現状ではIE9のバグとも言える実装となっている。(IE9を試す環境がないので試してないがHTML5としてマークアップするときちんと取れたりするかも?) 将来的に使用できると思われるのを例として出すのは妥当ではないと思う。 ECMAScript5は関係ないよ また、 このような修正がなぜ必要なのかを、前述のC
<img src=""/> の挙動 - hogehoge @teramako
firefox4,5における空のimgタグの挙動 - 技術記録 firefox4か5で、 <img src=""/> みたいな感じで、srcを空にしたimgタグを書いてると、imgタグが現在開いているページ自体を読み込むようだ。 firefox4,5における空のimgタグの挙動 - 技術記録 という問題。気になったのでローカルのWebサーバで検証してみた。 何が気になったか言うと、 で Return the img element to the unavailable state. If an instance of the fetching algorithm is still running for this element, then abort that algorithm, discarding any pending tasks generated by that algori
Greasemonkeyもう無理。付いていけない - hogehoge @teramako
かなり憤慨している。 #1167: Improve Editor/IDE compatibility - Issues - greasemonkey/greasemonkey - GitHub IDEの補完を最大限に使用したいという趣旨は分かる。 Commit 5f7db7300d0b3c540cf9350ad4ad6d1cf4a3ff09 to greasemonkey/greasemonkey - GitHub その結果がコレである。 何をしたかというと、定数宣言であるconstをやめて、変数宣言のvarに変更している。Issueの趣旨は理解できるが、この変更は受け入れがたい。 Editor/IDE はコードを書くための手段だ。手段のためにコードという目的を変えてしまっている。 前々からGreasemonkeyのコードには不満があったが、ここに極まれりって感じ。
Firefox4.0 の browser.sessionstore.max_concurrent_tabs について - hogehoge @teramako
Firefox4の「about:config」設定でメモリ使用量を軽減 : ライフハッカー[日本版] ウェブサイトを見ていない時に、Firefoxが使用するメモリを開放するだけであれば、この設定だけで十分では? ウソ言うな。 そもそも、browser.sessionstore.max_concurrent_tabsの意味を分かっているのだろうか...。 名前から、セッションリストア時の最大同時リストア数だと分かるだろう。 BarTabはたしかにしばらくアクティブにしていないタブのコンテンツをアンロードすることでメモリの開放を行うことができるだろう。 BarTabは主に二つの機能を有していると言える。 Firefox起動時のタブのリストアにおいてアクティブでないタブのロードは行わない しばらくアクティブにならなかったタブのコンテンツのアンロード browser.sessionstore.ma
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
overflow: auto 便利 - hogehoge @teramako
