見落としがちな整数関連の脆弱性(前編)
整数の脆弱性 2013 いまをさかのぼること6年前の2007年。情報セキュリティ関連のリサーチを行う米国の非営利団体、MITREが、ソフトウェアの脆弱性のトレンドに関する調査レポートを公表しました。調査は2006年の1年間に発見された脆弱性を対象に行われ、レポートには、その年の脆弱性の傾向とその分析結果がまとめられています。 さて、このレポートの概要には、整数オーバーフローについて書かれた次のような一節が見つかります。 整数オーバーフローは、過去数年の間、かろうじてトップ10入りする程度の脆弱性にすぎなかったが、(今回の調査では)OSベンダのセキュリティアドバイザリにおいて、バッファオーバーフローに次いで2番目に多い脆弱性であることが分かった。これは(OSのような)注目を集めるソフトウェアに研究者の興味が向かっていることを示唆しているのではないか この状況は、レポートの公表から6年が経過し
書いたコードが一発で動作するとなぜ不安なのか : akiyan.com
書いたコードが一発で動作するとなぜ不安なのか 2013-04-21 プログラミングにおいて少なくないコードを一気に書き上げたとき、そのコードが一発で動作 or テストケースに通るとなんともいえない不安を覚えるのは、プログラマーなら誰でもあるあるネタだと思う。「本当にこれ、一発で動作しちゃっていいの? 俺、そこまでミスしないプログラマーだっけ?」なんて自分を疑ったりする。 このあいだもそんなことがあったんだけど、ふと気になった。不安になる理由は、自信のなさからくるものだけだろうか? ちなみに、書いたコードが正しく動作しないとき、コードを修正すると不安になることはない。一体、なぜ? 一発で動作したブラウザの画面を見ながら、考えてみて、閃いた。「コードの修正は、書いたコードを見直す機会にもなっているから」じゃないだろうか。コードの見直しは「リファクタリング」といっていもいい。 一発で動作してしま
東証曰く、システム開発においてコーディング後にはドキュメントは不要 | スラド デベロッパー
2005年に発生した、「ジェイコム株大量誤発注事件」はみずほ証券に大きな損害を与えた。みずほ証券はこの損害の原因の1つに東証の売買システムのバグがあるとして、東京証券取引所(東証)に対し賠償を求める裁判を起こしていたのだが、この裁判が3月18日に結審した(日経ITpro)。これを受けて、日経コンピュータが「みずほ証券-東証裁判の争点を洗い出す」として争点をまとめている。 ここで興味深いのは、東証の開発手法やソースコードに対する姿勢だ。東証はソースコードの修正時にそれに対応するドキュメントの修正を行っていなかったそうなのだが、これについて「コーディングが終了した後はドキュメントは不要」と主張している。いっぽうのみずほ側はこれについて「ソフトウェア工学の知見を無視する暴論だ」として、重大な過失であると主張している。 また、ソースコードには著しい重複があったことが判明しているのだが、これについて
Twitter時代の文字の数え方 | 配電盤
入力「×」のブラウザでは、「𠮷」が2文字とみなされるため、2文字目まで、つまり「𠮷野」までしか入力できません。 Mozillaの文書には、Unicode code pointsで数えると書いてあるので、そのうち改善されるのかもしれませんが、現時点ではTwitterのために「maxlength="140"」を使うことはできません。 pattern属性 Firefox 21とChrome 27、IE 10、Opera 12.15は、「pattern=".{0,3}"」(任意の文字からなる0から3文字)のような正規表現を使った検証にも対応していますが、やはり「𠮷野家」は4文字とみなされてしまいます。 JavaScript 追記:javascript – でBMP以外のUnicode文字をきちんと扱う(404 Blog Not Found) JavaScriptでは、文字列strの長さをst
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブラウザ上で簡単にBASICが試せる『Quite BASIC』 | 100SHIKI