なぜ、いま「セキュアコーディング」なのか?
なぜ、いま「セキュアコーディング」なのか?:もいちど知りたい、セキュアコーディングの基本(1)(1/2 ページ) 多くのソフトウェアが脆弱性を抱えたまま出荷され、不正アクセスや攻撃の脅威にさらされているいま、セキュアな開発に関する技術や経験を有するプログラマがいっそう求められるようになりました。この連載ではC/C++言語を例に、セキュアコーディングで特に重要となるトピックスを紹介していきます。 ソフトウェアセキュリテイをめぐる状況 今月から数回に渡って「C/C++セキュアコーディング」の連載を担当させていただくことになりました、JPCERTコーディネーションセンター(JPCERT/CC)、脆弱性解析チームの久保と戸田です。よろしくお願いします。第1回目の本記事は久保が担当します。 まず始めに、連載のタイトルにもある「セキュアコーディング」とは何なのか、言葉の整理も兼ねて、あらためて考えてみ
非同期入出力の残念な現状
asynchronous disk I/O | libtorrent blog Libtorrent experience - the poor state of async disk IO | Hacker News libtorrentの作者が、ディスクI/Oをパフォーマンスを向上させるために非同期I/Oを試した結果、どの環境でも残念なので、ブロックI/Oをスレッドプールで行う擬似非同期I/Oで実装したとブログを書いている。その問題について、Hacker Newsでも議論されている。 非同期I/Oは、話を聞くとたのもしい機能に思える。読み書きが完了するまでブロックせずに、完了したらOSが通知するという仕組みだ。 問題は、その実装がどの環境でも貧弱だという事だ。 環境というのは、主にOS側のことだ。多くのモダンなOSは非同期I/Oを提供している。特に著名なのがみっつある。 Linux A
AndroidでC言語のライブラリのビルド方法のまとめ - yukobaのブログ
Android は Linux の一種でもあり、ARM で動く Linux 向けのC言語で書かれたライブラリの多くが動きます。(多少違うので、動かない場合もあり)。ただし、ビルド方法が暗黙の了解事項になってたりして、Android NDK にちゃんと書かれていなかったりするので、ここにまとめます! 以下、架空の libhoge をビルドすることとします。 ビルド対象は一般的に静的ライブラリ (.a) ファイルにしておくと吉です。自分で使う際は、自分の Android.mk に以下の物を追加します。 LOCAL_CFLAGS に -Ihoge-1.0/include みたいのを追加 LOCAL_LDLIBS に -Lhoge-1.0-android-build/$(TARGET_ARCH_ABI) と -l hoge を追加 ライブラリをビルドしてできた libhoge.a はこのフォルダに
UI と UX の違い - Zerobase Journal
「UI」は「ユーザー・インタフェース」。 「UX」は「ユーザー・エクスペリエンス」。 「UI/UX」と混同表記する人がいるから、「UI と UX の違い」という不要な疑問も生じるんです。 「UI と UX の違い」なんて瞭然ですよ。 それを説明するために、ちょっと回り道します。 「怪我と痛みの違い」は瞭然ですよね。 「怪我」は客観的物質的存在です。 怪我した本人でも他人でも誰でも、そこに怪我が「ある」ことを観測できる。 一方、「痛み」は主観的な感覚ですね。 他人の「痛み」は観測できない。 痛がっている様子から「痛いんだろうな」と推定することはできるけど。 「UI」が「怪我」、「UX」が「痛み」に対応した比喩です。 「UI」は客観的物質的存在です。 誰が見ても iPhone にホームボタンは一つです。 誰が押してもホーム画面に遷移する、というインタラクションです。 一方、「UX」は主観的な体
AndroidのNotification.BuilderのtitleやtextやcontentInfoはどれがどれなのか
702NK (1) 705NK (1) Activity (1) Adapter (2) add-on (1) AES (1) agile (3) amazon (2) Android (19) Android Studio (1) arm (2) assembler (1) bash (2) Bluetooth (2) book (3) bridge (1) C (13) cache (2) canna (1) catch.com (1) codereview (4) CPU (3) cruisecontrol (1) current (1) cygwin (1) debian (2) debug (2) dictionary (1) disklabel (2) distcc (2) DMA (2) Dropbox (1) embedded (2) encfs (1) english (
Jenkinsで排他的にジョブを実行させる - うさぎ組
Hudson Locks and Latches plugin Jenkinsのジョブを排他的に実行する場合は「Hudson Locks and Latches plugin」というプラグインを使用します。 インストールするとジョブの設定画面に「ビルド環境」という項目が表示され、「Locks」というチェックボックスがあります。 この「Locks」をオンにすると排他対象のジョブとなります。 ※nameリストボックスについては後述するのでとりあえず(default)のままでよし。 つまりジョブA、ジョブB、ジョブCが存在するときにジョブAとジョブBを排他実行したい場合は ジョブAとジョブBの「Locks」をオンにしましょう。 排他グループの指定 排他させたいグループは「Locks」をオンにしたときに表示される「name」リストボックスでグループを指定できます。 インストール直後はdefault
PerlでSTDIN/STDOUTを任意のファイルハンドルに置き換える - たごもりすメモ
いま書いてるコードで、forkしてexecするんだけど、execする前にSTDIN/STDOUTを任意のファイルハンドルに置き換えたいなー、もっというとexecするプログラムのSTDINにソケットのREADから流れてくるデータを流し込んで、STDOUTの出力をソケットのWRITEに流し込んでやりたいなー、というようなことを考えていた。 で、これが例えば今のプロセスのSTDOUTの出力をファイルに置き換えるには、以下のようにすればいい。 open(STDOUT, '>', '/path/to/file'); シェルスクリプトでも簡単。*1 exec >> /path/to/file さて、STDIN/STDOUTとconnect済みのソケットを結合したい。connect済みのソケットはファイルディスクリプタは持っているがファイルパスを持っていない、ので、普通にopenし直すだけではうまくいか
Credit Card Test Numbers and Paypal Test Accounts
2013年8月28日 Webサイト制作 オンラインショップで最も使われている決済方法がクレジットカード決済。しかし、過去にオンラインショップを制作したことのあるWeb屋さんは、決済時の動作テスト方法にとまどった事はありませんか?動作確認に自分のクレジットカードを使っていたという人が多いかと思います。私もそうやってテストしていました…が、実は各種メジャークレジットカードではオンライン決算時用のテスト番号があるのです!便利ですよね! ↑私が10年以上利用している会計ソフト! 以下のクレジットカード番号を使えば、実際に決済が完了した時と同じ動作をします。もちろんテスト番号なので実際に入金などはありません。有効期限は現在の年月より先のものならなんでもOKです。 広く使われているこのテスト番号ですが、対応していないサービスもあります。番号自体のチェックは「【PHP】クレジットカードチェックサンプル」
MacTech | The journal of Apple technology.
Volume Number: 25 Issue Number: 06 Column Tag: Installers Installer Plugins Build a basic installer plug-in using Xcode by José R.C. Cruz Up to now, you know two ways to customize an install session. For instance, to check if the target is the right one for the payload, you use a requirements script. To prepare the target to receive the payload, you use an action or an install script. Yet, there a
llvmの基本となるツールたち 〜llvm 入門 その1〜 - tokuhirom's blog
3つのツールをためすhelloworld.c はこちら。 #include <stdio.h> int main( ) { printf("Hello World!\n"); }llvmアセンブリを生成! $ llvm-gcc -S -emit-llvm helloworld.c helloworld.s ができてた。 ; ModuleID = 'helloworld.c' target datalayout = "e-p:64:64:64-i1:8:8-i8:8:8-i16:16:16-i32:32:32-i64:64:64-f32:32:32-f64:64:64-v64:64:64-v128:128:128-a0:0:64-s0:64:64-f80:128:128-n8:16:32:64" target triple = "x86_64-apple-darwin11.4" @.str
文字の縁取り、袋文字、アウトライン | MacFeeling Blog
Squeezeの注釈機能での文字列、背景の画像によっては色を変えても見にくくなってしまいます。 Skitchみたいに縁取っているとすごく見やすい! で、早速、フォントや文字色に加えて [NSNumber numberWithFloat:-5.0],NSStrokeWidthAttributeName, [NSColor whiteColor],NSStrokeColorAttributeName を加えて、数値を色々と変えて試してみたのですが、文字がやせ細ってしまい、Skitchのようにはならない... これは、縁の部分を別に生成して、そのうえに重ね合わすしかないとググってみたところ、Cocoa Drawing Guide: PathsのAdding Textの項目に [PDF] Cocoa Drawing Guide - 特定非営利活動法人MOSAのが日本語なのでこっちの方が分かりやすい
旧えびめも(2012-06-05)
■ SHIFT-JIS使用禁止な話 最近facebookやtwitterに書き込んでいるのでこちらのblogは放置状態でした。久々に書くネタを見つけたので更新します。 基本的な話ですが最近似た話があったので書き残しておくことにします。 次のようなC言語プログラムがあったとします。 #include <stdio.h> int main(){ int x=0; int table[]={0,10,20,30,40,50,60,70,80,90,100}; // 点数表 x=2; printf("TENSU=%d\n",table[x]); } これ実行すると TENSU= いくつになります? 20ですか?実際にやってみましょう。 $ gcc tensu.c $ ./a.out TENSU=0 TENSU=0 になります。そんな馬鹿な?? 実はこれソースコードをSHIFT-JISで保存した場合
PF_PACKETの仕組み - めもめも
Software Design 2012年6月号の『「生」ネットワークプログラミング』が妙にツボにハマって面白かったのですが、さすがにあのページ数でPF_PACKETを語ると、ついていけない読者も多くて残念かも。 ということで、参考までに概要図を書いてみました。 C言語のソケットプログラミングをなんとなく勉強した方は多いと思います。ソケットは、カーネル内部のネットワークレイヤーとユーザ空間を結びつけるインターフェース(API)なわけですが、カーネル内部では、通常、上図(右側)の流れで受信パケットが処理されていきます。 物理NICが受け取ったパケットは、デバイスドライバがL2プロトコルの処理をして、さらにL3プロトコルの種類(IPv4/IPv6などの違い)の判別まで行います。 判別した結果に基づいて、適切なL3プロトコルのハンドラーが呼び出されて、L3プロトコルの処理をして、さらにL4プロト
【Xcode】設定しておくと便利なカスタマイズいろいろ | iphoneアプリで稼げるのか
いろいろカスタマイズして便利にします。 外観 デバッグコンソールなどを1つのウィンドウに統合する シミュレータでアプリを起動すると、デバッガコンソールがXcodeの後ろに隠れてしまい、いちいちフォーカスを切り替えるのが面倒。そんなときはこの設定を。 Xcode→環境設定→全般→レイアウト→オールインワン アプリ実行時にデバッガを自動的に表示する Xcode→環境設定→デバッグ→開始時→コンソールとデバッガを表示 __MY_COMPANYNAME__を変更する ファイルを新規に作成する時にファイル作成者の情報等が自動生成されるが__MY_COMPANYNAME__が気持ち悪い。そんな時は、コンソールから以下のコマンドを叩く。YourNameHereを表示したい名前に置き換えて。 ?View Code SHELLdefaults write com.apple.Xcode PBXCu
AppleInsider:Apple、デベロッパーに対して、OS X Mountain Lionリリース前に「Gatekeeper」への対応を促す | NEWS | Macお宝鑑定団 blog(羅針盤)
日本語でのMac,iPhone,iPad,iPodなどApple関連の情報サイト。MACお宝鑑定団のBlog。 Macに捉われず、様々な情報を掲載しています。 AppleInsiderが、Appleは、デベロッパーに対して、OS X Mountain Lionリリース前に、アプリケーションをApple Developer IDで署名をし「Gatekeeper」に対応するよう促したと伝えています。 2月の時点で案内は出ているのですが、OS X Mountain Lionのリリースが近づいてきている状況となり、デフォルト設定では、Mac App Store経由またはDeveloper ID署名付きMacアプリのみインストール可能となるため、リリース後にインストール出来ないといった混乱を少しでも減らす狙いがあるものと考えられます。 関連エントリー:9to5Mac:Apple、Macデベロッパーに
Big Sky :: Windowsへの移植も視野にいれたプログラムを書くなら読んでおいて欲しい事
絶対パスの先頭に/が来る事を期待してはいけない しかしながら絶対パスの先頭にドライブレターが来る事を期待してはいけない UNCパスのホスト名やシェア名はディレクトリではないのでファイルシステムAPIは使えない事を意識しておく unixに比べパス内に空白文字が入る可能性が高い事を意識しておく ホームディレクトリを意味するパスの先頭チルダは自前で展開する必要があり、またパスの途中にチルダが混じる事は日常的にある ソケットディスクリプタに対してもread/writeで送受信できる事を期待してはいけない パイプでない標準入力のselectはやっても意味がない ディレクトリ内にあるファイルを開き、ハンドルを保持したままディレクトリを消せるのは当たり前だと思わない パスのセパレータが/¥である事を期待してANSI APIを使ってはいけない Cランタイム(POSIX互換API)とWindows APIを
ソフトウェア開発の品質と、ソフトウェアの品質は、分けて考えたほうがいいんじゃないか - きしだのはてな
ふと「ソフトウェア品質のxxx」みたいな文章を見つつ、基本としてはソフトウェアがいかに仕様どおりになっているか確認する話だったので、これってソフトウェア品質じゃなくて、ソフトウェア開発品質だよなーと思った。 実際、ソフトウェア開発の品質と、ソフトウェアの品質には相関はあると思う。とくに1990年代まで、まだITという言葉があまり使われず、OA、つまりオフィスオートメーションがソフトウェアの主な開発対象だったときには、データがちゃんと入ってデータがちゃんと届けられるということが主な処理だったため、ソフトウェア開発の品質と、ソフトウェアの品質はほぼ一致していたと思う。 そういう中で、ソフトウェア品質として、ソフトウェア開発の品質が研究された。 実際、ソフトウェア開発プロセスの基本コンセプトのひとつは、「よいプロセスがよいソフトウェアを作る」ということで、ソフトウェアプロセスの本を見ると必ずとい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
United States
IDEA * IDEA
http://www.triplefalcon.com/Lexicon/Encryption-Block-Mode-1.htm