これはなに 既にご存知の方がいらっしゃるかどうかも知りませんが今さっき関連文献に行き当たって驚愕したので念のためにメモを書いておきます。私はメーリングリストなどに加入していませんので論議が済んでいるかどうかも知らないのです。もしもウェブ上に解説記事があるようでしたら逆に私に是非とも教えてください。 JSONデータの先頭に JSONデータの先頭にwhile(1)を置いておくことで無限ループを発生させておいて、受動的攻撃のページの悪意あるscriptの実行を失敗させるというアイデアには欠点があるということを、先程とある文献から知りました。これはwhile(true)についても同様です。JavaScriptは柔軟で強力な言語ですから、ブラウザがJavaScriptエンジンをまじめに実装しているのであれば、アタックのチャンスを与えていることになります。しかしこれはブラウザの脆弱性とは捉えられません
情報提供お待ちしています ニュースサイト「ガジェット通信」ではエイプリルフールネタのタレコミをお待ちしております。 特に企業の方で「公開までは秘密にしたいけどエイプリルフールのまとめをしているメディアには連絡したい!」という方は、こちらの窓口までお知らせください。4月1日までネタの秘密は守ります。 →エイプリルフールネタのタレコミはこちらの情報提供フォームからどうぞ! https://getnews.jp/archives/3395874 「インターネットエイプリルフール」5つのお願い (1)すべての人が笑顔になるようなふるまいをお願いします。 (2)ネタばらしはすぐにおこないましょう。本当かどうか見分けのつかないままにするのはやめましょう。 (3)Twitter等で発言の際にはエイプリルフールとわかるハッシュタグをつけてください。#AprilFools #エイプリルフール などが一般的に
[無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
ニンテンドーDSでダウンロードしたコピーソフトを遊ぶことができる「マジコン」と呼ばれる機器を輸入、販売している複数の業者に対して、任天堂とソフトメーカー54社が不正競争防止法に基づいた一斉提訴を行った結果、東京地裁により販売差し止めが全面的に認められたことは記憶に新しいですが、韓国のマジコン事情が明らかになりました。 なんと普及率が70%を超える可能性があり、正規ソフトの販売に深刻な影響を与えているようです。 詳細は以下の通り。 「ニンテンドーDS」、韓国で違法コピー横行 : 経済ニュース : マネー・経済 : YOMIURI ONLINE(読売新聞) 読売新聞社の報道によると、現在韓国でニンテンドーDSソフトの違法コピーが横行しているそうです。 韓国では2007年1月にニンテンドーDS Liteが発売されて以来、2年間で200万台を売り上げたヒット商品となっていますが、同時にマジコンが1
トロント大学の調査研究グループ「Citizen Lab」と,カナダのコンサルティング会社SecDev Groupが共同運営するサイバー・セキュリティ監視プロジェクト「Information Warfare Monitor」は,現地時間の2009年3月28日,世界規模で諜報(ちょうほう)活動に関与しているスパイ・ネットワーク「GhostNet」の存在を報告する文書「Tracking GhostNet:Investigating a Cyber Espionage Network」を公開した。 同文書によれば,世界103カ国のパソコン計1295台以上がすでにGhostNetに取り込まれている。さらにその3割が外交機関や国際組織,報道メディア,非政府組織(NGO)といった,機密性の高い情報を扱うことの多い組織で使われているという。 GhostNetはさまざまな機能を持っており,取り込んだパソコン
2009/04/02 當山日出夫 山本さん、コメントありがとうございます。京都市バスに乗ると、車内のアナウンスは、「ななじょう」と言っています。 三鷹市の件で思うことは、「新常用漢字(仮称)」の中に入ることのメリットとは、いったい何であるのか、ということ。逆に、外れることに、なにかデメリットがあるのか。 最低限わかっていることは、次のふたつだけ。 ・三鷹市など、市町村レベルの地名文字としては、確実に用例がある。 ・「鷹」の字だけを取り出してみても、さほど難解な文字とは思えない。(これはかなり主観的な判断になる。)いわば、常用平易な漢字(らしい)。 何度も書いていることあるが、では、日本語の中で「鷹」という字は、どのような使用例があるのか。その実態が分からない。本の書名では、『紫電改のタカ』(ちばてつや)、これは片仮名。『冬の鷹』(吉村昭)、これは漢字。人名としては、上杉鷹山、ぐらいか。「タ
2009/04/01 當山日出夫 今日の読売新聞(YOMIURI ONLINE)では、三鷹市(東京都)が、「鷹」の字を「新常用漢字表(仮称」試案に、追加して欲しいむね、意見書を提出したよし。 http://www.yomiuri.co.jp/national/culture/news/20090401-OYT1T00035.htm 白鷹町(山形県) 松浦市(旧鷹島町、長崎県) 鷹栖町(北海道) も同様に、意見書を出すとのこと。白鷹町(しらたかまち)はすでに提出。 もともと固有名詞は「新常用漢字」の対象外であるので、論理的には無理な注文には違いない。だが、一方で、単純素朴に考えて「鷹」ぐらいは、「新常用漢字」に入っていてもよさそうな気もする。 今回の、「新常用漢字表(仮称)」で、明らかになったことは、都道府県名やその県庁所在地さえも、書けないという現状。現行の「常用漢字」に無いということは、
2009/03/31 當山日出夫 2009/03/31の朝日新聞、朝刊(大阪版)に、白石明彦編集委員の「新常用漢字表をよむ」として、先日(26日)の、「新常用漢字表(試案)」の説明会の様子がレポートされている。 記事の中心は、字体の整合性。特に、「しんにゅう」の「てん」が一つであるか二つであるかの問題。「遡」「謎」「遜」。(※ATOK2009では、「けんそん」から変換すると「謙そん」の表記が出る。) すでに述べたことであるが、確認すると、 ・「新常用漢字表(仮称)」の内部での字体の整合性を優先するか。 ・実際にコンピュータで使用の文字に合わせるか。これは、印刷標準字体を決めて、それをうけて、0213の2004年改訂があった。タテマエとしては、国語政策の一貫性ということになる。 実は、この問題は、表外漢字(印刷標準字体)とワンセットで論じなければならないはずである。現実に、現行の常用漢字でも
2009/03/31 當山日出夫 「もじのなまえ」から気になって、日本新聞協会の意見をよみなおす。 http://d.hatena.ne.jp/ogwata/20090325/p1 形式的には、「新常用漢字表(仮称)」は、表内で字体を統一すべき、ということになる。たとえば、「しんにゅう」は一点に統一。 だが、その主張の背景にあるのは、印刷標準字体の解釈の問題、と読める。「しんにゅう」「しょくへん」「しめすへん」は、許容三部首。また、簡易慣用字体。「曽・曾」など。これらを、実際の運用面において、大胆にみとめるべきである。そうすることによって、二つの異なる規格(漢字表)の整合性をとることが可能になる。国語施策としての一貫性を保つという名目をたもてる。と同時に、現実的には、現実のコンピュータ文字「JIS X 0213(04)」もそのまま使える。 「新常用漢字表(仮称)」を、それだけで見るのではな
NHKは2日、インターネットの掲示板「2ちゃんねる」から生まれたキャラクター「やる夫」を番組ホームページに掲載したのは不適切だったとして、ホームページから削除したことを明らかにした。 衛星第2で放送中の番組「ザ☆ネットスター」のホームページで、先月下旬から今月1日まで掲載、「2ちゃんねるから引用」との表記はなかった。「やる夫」は、文字や記号で書かれた「アスキーアート」と呼ばれる絵で、不特定多数の人に使用されている。 NHKは「著作者が分からないものであったとはいえ、出典を明らかにすべきだった」と話している。
NHKの萌え過ぎサイトが「やりすぎw」と高評価 4月01日 12時09分 コメント コメントする 写真を拡大 NHKのBS2で深夜に放送されている「ネットカルチャーバラエティ番組」・『ザ☆ネットスター!』の公式ホームページが、「NHKとは思えない!」とネットで話題となっている。 その理由はホームページを見れば一目瞭然。萌え度全開の2次元キャラクターが多数書かれ、2ちゃんねるの人気キャラ「やる夫」も登場しているのだ。また、パンを加えた女子が尻もちをついて、男子がスカートの中のパンツを見ているという絵まで載せられており、従来のNHKのイメージと180度異なる仕様となっている。 この衝撃的なホームページにネットでは、「NHKが狂ったw」「国営放送でそれはやりすぎだろw」「受信料がこういうことに使われてるのですね(笑)」「こまけぇこたぁいいんだよ!!!(ホームページ内のアスキーアートのセリフ)
2009年04月02日21:08 カテゴリケットコム即売会 ケットコム イベント検索機能強化! 当ブログでは、「ケットコム」掲載の(予定)イベントの動向を調査するに当たり、「予定」と入れて検索する事でデータ収集を行っている。 先ずは皆様、ケットコムで「予定」と入れて検索していただきたい。 不思議な事に、掲載イベントが、確定のものも含め全部吐き出される。キーワードを入れずに検索を図った時と同様の表示になる。 「東方 予定」で検索すると、本来は東方オンリーの(予定)イベントのみが表示されるが、今現在では、「東方」が入ったイベントが全て表示される。 すなわち、ケットコムは、【「予定」での検索を無効化】という画期的な検索機能の強化を図られた模様だ。 ちなみに、「予」とか「定」だけで検索しても同様の効果が得られる。念の入れ方が抜け目無く、聡明さが感じ取れる。 では、何故そんな事をしただろうか? 当ブ
2009年04月01日11:23 カテゴリ電波 【4/1ですよ】5年に一度の電波なお遊び!コミケッとからスペシャル開催決定! STRIKE HOLEでは、2010年3月、鹿児島県の南方の離島「トカラ列島」にて、これまでの諸々の経験を生かし、新機軸の同人誌即売会を開催する事と致しましたのでご報告申し上げます。【概要】 即売会名称:コミケッとからスペシャル 開催予定日:2010年3月22日 会場:鹿児島県十島村(トカラ列島)予定 募集スペース:屋内100sp、屋外展示∞sp 参加費用(鹿児島〜トカラ列島往復フェリー代含む) サークル参加費用210,000円、一般参加費用215,000円 STRIKE HOLEの開く新たな即売会のコンセプトは、「これはひどい」「主催は病気どころか重症」。 かつて「夢●星」という同人イベント主催団体が、青龍刀で主催を打ち首に処したくなる程の素敵な伝説の即売会を敢行
以前「チャリティーイベントでサンタの代わりに著作権団体がやって来た」でお伝えしたように各国の著作権管理団体は日々大活躍を繰り広げているわけですが、スペインでは活躍しすぎて罰金刑を受けてしまったようです。 詳細は以下。 Secret wedding video ruling is music to ears of privacy groups - Times Online 2005年のスペインのセヴィリヤ近郊で、著作権管理団体SGAEに雇われた私立探偵が結婚式のカメラマンとして著作権利用料逃れをしているレストランを内偵、結婚式を撮影したビデオを証拠としてレストランを訴えました。当然ながら結婚式はむちゃくちゃになってしまったわけですが、そんなことは関係なしに裁判所はレストランに対し約4万ユーロ(約500万円)の罰金を課しました。 SGAEはこのような私立探偵を使った内偵を以前から行っており、最
以前に「JASRACの独占禁止法違反認定か、公正取引委員会が排除措置命令へ」というニュースをお伝えしましたが、ついに公正取引委員会が正式に本日付で「社団法人日本音楽著作権協会に対する排除措置命令」を行いました。 ところが、対するJASRACは本日17時過ぎに公式サイト上にて「当協会は、2月27日付けで公正取引委員会から受けた排除措置命令について、事実認定及び法令適用の両面において誤ったものと考えており、到底承服することができませんので、法令の手続に従って審判を請求する方針です」と発表しました。 双方の主張する内容を読みましたが、どう解釈しても、JASRACの言っていることはおかしいです。おかしいどころか、「自浄作用がJASRACにはありません!」としか感じられない稚拙で幼稚な反論に終始しており、至極残念な内容になっています。 一体JASRACの何がおかしいのか、詳細は以下から。 まずは公正
Windows XPやWindows Vista、Windows Mobileに対応した、インストールするだけで地方のテレビ番組などを見ることなどが可能となるフリーのP2Pソフト「KeyHoleTV」に対して、権利者団体から著作権侵害を指摘する通知が送られたことが明らかになりました。 「KeyHoleTV」は総務省の「次世代P2P型コンテンツ流通高度化技術に関する研究開発」によって開発されたフリーソフトでしたが、著作権法をはじめとした複数の法律に抵触しているとのこと。 詳細は以下の通り。 ドクター苫米地ブログ - Dr. Hideto Tomabechi Official Weblog : KeyHoleTVで著作権侵害が報告されました。 - livedoor Blog(ブログ) KeyHoleTVを開発したコグニティブリサーチラボ代表研究者の苫米地英人氏のブログによると、デジタル放送推進
18歳の誕生日に携帯電話が落ちているのを発見し、警察に届けに行った少年が、なぜか窃盗犯として逮捕されてしまうという事件があったそうです。落とし物を届けることはどちらかというといいことだと思うのですが、一体何があったのでしょうか。 詳細は以下から。 Student finds mobile phone while out celebrating his 18th and is ARRESTED after handing it in to police | Mail Online 携帯電話を届けてたのはSouthport大学のPaul Leicesterくん。携帯電話が盗まれたという申し立てがあったため逮捕されたそうです。「逮捕するというのは誕生日を祝う行為とは思えない。履歴から最後に電話をかけてきていた人に連絡して警察に届けると伝えたのに、逮捕されることになった」とPaulくんは話していま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く