PyPIに悪意のあるパッケージがアップロードされていた | スラド デベロッパー
スロバキア政府のサイバーセキュリティ対策チーム SK-CSIRTは、Pythonパッケージの公式リポジトリ PyPI に悪意あるコードを含む10個の偽ライブラリパッケージがアップロードされていたことを発表した(SK-CSIRTアドバイザリー: skcsirt-sa-20170909-pypi、 Ars Technicaの記事、 The Registerの記事、 Bleeping Computerの記事)。 偽パッケージはいずれも有名パッケージのコピーで、オリジナルのパッケージ名を一部変えた名前が付けられている。コード自体はオリジナルと全く同じものだが、インストール時に実行されるスクリプトが悪意のあるコードを含むものに変えられていたとのこと。 SK-CSIRTの通報により既に問題のパッケージは全てリポジトリから削除されたが、公開されていた6月から9月の間に複数回のダウンロードが確認されている
長い関数名、変数名、どこまで許せる? | スラド デベロッパー
最近久しぶりにWindows関連の案件に関わったのだが、ここ数年UNIX/Linuxばかりを触っていたので結構な違和感があった。特に気になったのが、関数名や変数名などの識別子が長くなる傾向がある点だ。たとえば「GetApplicationConfigurationString」とか、「SaveAllChangeSetToDatabase」とか、確かに分かりやすいのだがタイピングするのに指が絡まるわ!と思う識別子名が多々あった。 そもそもWindows APIには長い関数名、変数名が多く、IDEの補完機能によって長い識別子も入力しやすくなっている、という背景もあるのだろう。しかし、長い識別子名が多いと1行は78文字以内というポリシーを守るのがかなりきつい。長い識別子を許した方が分かりやすいかもしれないが、それでコードが見づらくなるのは個人的にはちょっと避けたいところである。 /.J読者でプロ
スラッシュドット・ジャパン | 初代SimCityのソースコードが公開される
本家/.のストーリーより。初代SimCityのソースコードがGPLv3で公開された。権利を持つElectronic Artsが、SimCityをOLPCで利用できるようにと公開を認めたことによって実現したもの。 今回公開されたのは、UnixやOLPC上で動作するTcl/Tk版と、それを元にPythonモジュールへ移植中のソース。OLPC版とLinux版のバイナリも公開されている。作業を行ったのはUnix移植を手がけたDon Hopkins。今回公開されたバージョンでは、UIが修正され、911事件を受けて飛行機墜落イベントが削除されているので、完全にオリジナルと同一ではない。 なお、SimCityの商標は放棄されていないので、SimCityを名乗れるのはElectronic Artsの品質管理チェックを経てお墨付きを得たもののみとのこと。それによりGPL版はMicropolisと改称されてい
BBCが自ら「Perl on Rails」を開発 | スラド デベロッパー
本家/.の記事より。ウェブサイト構築にPerlを駆使していることで知られるイギリスのBBCが、Ruby on Railsならぬ「Perl on Rails」を開発しているそうだ(BBC Radio Labsのブログ記事)。既存のPerl用MVCフレームワークも試したが機能や高負荷時のパフォーマンスの面で十分ではなく、利用できるモジュールなどサーバ側の制約も強かったため、内部のサイト用にRuby on Railsを数年間使った経験を活かしてデザインパターンやコーディング規約まで似せたものを自ら開発することにしたと言う。現在のところBBC Programmes(番組表)の構築で利用されており、今後はBBC iPlayerでも利用される予定とのことだ。ただし、オープンソース・ライセンスの下で一般に公開されるかどうかは定かではない。
プログラマーはマシン語を理解しておくべき? | スラド デベロッパー
旅行者はその国に1日でも先に着くと、後から来た旅行者に先輩面するのです。 自分が機械語解るからって、先輩面しちゃいけませんね。 ショクレー先生に「コンピュータは半導体を自分で接合してから初めて『使える』と言うのです」と 説教してもらいたいです。あとこのコピペも。 696 :Mr.名無しさん :2007/01/09(火) 22:53:01 電車のボックスシート(2人掛けの席が向かい合っている)で、 隣に座ったオヤジが激しくふんぞり返って股を広げきっていたので、 わたし「狭いんですけど」と言ったら、 オヤジ「しょうがないだろう!これ以上どうやってよけるんだ?」 わたし「どうやっても何も、他の人はきちんと座れてるじゃないですか」 オヤジ「女の癖にうるさい!」 わたし「女の癖にって、あなただって女から産まれてきたんじゃないんですか?」 オヤジ「屁理屈を言うな!大体、それが目上の者に対する態度か!」
スラッシュドット ジャパン | 文字エンコーディングはUTF8で本当に十分なのか?
RedHatの技術者であり、Debian開発者でもあるtagoh氏のblogに「 UTF-8は十分かどうか」という書き込みがある。 これは、「 シフトJISを捨てられるか?」というITproの記事に対して、Ruby開発者のMatz氏が 「『短いに越したことはない』というごく弱い理由で、さらに別のエンコーディングの必要性をほのめかさないでいただきたい」 と、自身の日記で述べていることに対して、 tagoh氏が意見を述べているものだ。 tagoh氏によれば、エンコーディングを増やさないことは賛同できるが、「UTF8でいいのか」というところには特に他言語を考慮した場合において疑問を呈し、 「エンコーディングに言語タグでも入れた方がいいんではないだろうか」と意見を述べている。 locale併用というのは今の方式だが、これでは複数言語を使えないわけで、tagoh氏の言語タグということには賛同できる。
スラッシュドット ジャパン | 正しいCSRF対策、してますか?
あるAnonymous Coward曰く、"最近WebアプリのCSRF脆弱性への対策が注目されていますが、30日に金床氏が「開発者のための正しいCSRF対策」という秀逸なテキストを発表してくれました。 Googleで「CSRF 対策」で検索すると高木浩光氏の「クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法」がトップに出てきますが、金床氏によると、この方法は誤った対策であり「CSSXSS脆弱性が知られている現在では、絶対に実施すべきでないもの」とのことです。この対策は、IPAの「情報セキュリティ白書2006年版」や「用語「CSRF」@鳩丸ぐろっさり (用語集)」ほか書籍などにも書かれており、金床氏は「記事の内容を訂正していただきたい」としています。スラドの開発者のみなさんはきちんと正しいCSRF対策をしていますか?"
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
プログラミングに最適な椅子は? | スラド デベロッパー