高木浩光@自宅の日記 - 続・「サニタイズ言うなキャンペーン」とは
■ 続・「サニタイズ言うなキャンペーン」とは 「サニタイズ」という言葉はもう死んでいる サニタイズ言うなキャンペーンがわかりにくい理由, 水無月ばけらのえび日記, 2006年1月5日 というコメントを頂いた。まず、 これは「サニタイズという言葉を使うな」という主張ではありません。「そもそもサニタイズしなくて済むようにすべきだ」という主張です。言い方を変えると、「サニタイズせよと言うな」という主張になります。 「サニタイズ言うなキャンペーンがわかりにくい理由」, 水無月ばけらのえび日記, 2006年1月5日 とある。「サニタイズせよと言うな」キャンペーンでもよいのだが、 その場合は次の展開が予想される。 「サニタイズせよと言うな」を主張する際の具体例として、XSSやSQLインジェ クションのケースを挙げた場合、正しいコーディングは、「その場の文脈でメ タ文字となる文字をエスケープすること」と
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
「なぜダムを建設する必要があるのか」に関しての共通の理解を持たずに「ダムを川のどこに建設すべきか」を議論していないか
先日のエントリー「素直な疑問:数字には四桁ごとにテンを打った方が日本人には読みやすくないか?」に関しては、四桁法での数字に関しての妙な盛り上がりをしてしまったが、本当に言いたかったことは、「素直な疑問」の大切さである。 どの会社でもあることだと思うが、会議の議題を活発に話し合っているにも関わらず、実はその議題の前提になることを皆がちゃんと理解していなかったり、ということが良くある。 たとえば「なぜダムを建設する必要があるのか」に関しての共通の理解を持たずに「ダムを川のどこに建設すべきか」を議論するし始めると、 「この場所に作った方が貯水量が多い」 「いや、こっちに作った方が落差が取れる分、総発電量はかせげる」 「でも、そこに作るとかなりの数の畑が水没してしまう」 「そうだ、その人たちの移転コストはどこが負担するんだ?」 「そもそも、ダムなんてこの村には必要ないんじゃねえか」 「そうは言って
Ajaxでグリッドコントロールを実現する「dhtmlxGrid v1.2」:CodeZine
Ajaxを使ったコンポーネントがいくつも発表されているが、米Scandの「dhtmlxGrid v1.2」を使うと、Ajaxでグリッドコントロールを実現することができる。 「dhtmlxGrid v1.2」では単にグリッドコントロールを表示させるだけでなく、列幅の変更はもちろんのこと、セルの編集、複数行の選択、ドラッグ&ドロップによる移動などができる。新バージョンからは行列の削除や、複雑な形式のヘッダとフッタにも対応した。また、さまざまなAPIやサンプルコードが公開されているため、自在にカスタマイズすることもできる。 「dhtmlxGrid v1.2」はスタンダート版とプロフェッショナル版の2製品があり、スタンダート版であれば無償でダウンロードできる。 詳細は下記Webサイトを参照のこと。 dhtmlxGrid - sortable Javascript DHTML grid wit
404 Blog Not Found:JASRAC vs. デサフィナード
2007年02月01日11:30 カテゴリMoneyMedia JASRAC vs. デサフィナード 言葉も無い。 痛いニュース(ノ∀`):ジャスラックに訴えられた生演奏店、「著作権侵害せず」とネット中継で証明するも「将来するかも」とピアノ撤去&賠償命令 せめて本blogでも、とりもあえずは論調抜きで「切り抜いて」おくことにする。 読売新聞2007年1月29日 (切り抜き画像) レストランでピアノ演奏 - 「著作権侵害なし」ネット中継で証明 和歌山 - 使用料巡り訴訟 あす判決 著作権を侵害しているとして日本音楽著作権協会から申請された仮処分で、ピアノなどの演奏を差し止められた和歌山市内のレストランが、著作権使用料@を払う必要のないクラシックやオリジナル曲だけを演奏していることを証明するため、ネットで協会に演奏の中継を始めたところ、仮処分の抗告審では演奏を認める異例の決定が出された。協会は
【レビュー】これは凄い! Ajax最強のデバッグツール"FireBug 1.0"リリース (1) デベロッパのアツい視線を受ける実力派エクステンション (MYCOMジャーナル)
デベロッパがFirefoxを使う理由はエクステンション! Ajax Webアプリケーションの開発者には、WebブラウザとしてFirefoxを愛用しているユーザが多い。その理由のひとつに豊富なエクステンション機能が挙げられる。Firefoxを使っているからエクステンションを使っているというよりも、エクステンションを使いたいからFirefoxを使っているという感じだ。 デベロッパに人気のあるエクステンションはいくつもあるが、代表的なところではAll-in-One GesturesやDictionarySearch、Greasemonkey、User Agent Switcher、ScrapBookなどを挙げることができる。そしてAjax Webアプリケーションの開発において必須ともいえるエクステンションに、Firebugがある。 Firebugに対する称賛の声は枚挙にいとまがない。「Fireb
Google Maps API - jazzanovaのブログ
11/10 5:44追記 Google Groupの該当URL(元ネタ)を貼り付けるのを忘れてました。 http://groups.google.com/group/Google-Maps-API-Japan/browse_thread/thread/d0ce529ce20edc4d/285aac6e0d3497a1 先ほどGoogleのChris AtenasioからGoogle GroupのGoogle Maps API グループに加入しているユーザ向けにメッセージが届いた。 自分用のメモとしてここに引用しておく。 Google Maps APIをご利用の皆様、 Google Maps APIで日本の地図を表示されている方へ、 Googleからのご協力のお願いです。 Google Maps APIにおいて、日本測地系(Tokyo Datum)のずれを修正する準備が整いました。つきまして
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.shoshinsha.com/pukiwiki/pukiwiki.php?%A5%D5%A5%EC%A1%BC%A5%E0%BA%EE%C0%AE%A4%CE%B4%F0%CB%DC
showModalDialog()による新規ウィンドウ回避方法
