では、このHTMLタグの無効化（サニタイジング）はどうすればいいかといいますと、皆さんご存知のように、左の表のように置換すれば良いことになります。これは、下記のような文字化け を悪用した攻撃にも効果的です。 例えば、「<」は16進文字コードで「0x3C」です。確かに、「<」で表示される文字（１バイト）なら、Shift_JISでもEUC-JPでもJISでも文字コードは一緒でしょう。しかし、もし「0x3C」を2バイト文字（漢字）の一部であると解釈すればどうでしょうか？ Shift_JISやEUC-JPには幸い「0x3C」は現れませんが、JISには現れます。 例えば、「紗」という漢字は、Shift_JISでは0x8ED1ですが、JISでは0x3C53です。0x3C53は、Shift_JISやEUC-JPでは、「1バイト文字が二つある」としか解釈できまず、この場合、「0x3C=<」「0x53=S」

L’essor des technologies de diffusion a conduit à une demande croissante pour des images de…

Agavi is a powerful, scalable PHP5 application framework that follows the MVC paradigm. It enables developers to write clean, maintainable and extensible code. Agavi puts choice and freedom over limiting conventions, and focuses on sustained quality rather than short-sighted decisions.

この問題は、JVN#F88C2C13 (JVN#89DE2014の情報を追加) で対応されたパターン以外のスクリプトが実行可能である問題です。 以前指摘されて修正したはずの問題が別のパターンで可能だったという話のようです。実のところ、ブラウザベースのアプリケーションで HTML メールを安全に表示するというのはメチャクチャ大変なことなので、仕方ないのかなという気もします。 私が経験した事例では、HTML メールではありませんが、こんなケースがありました。 まずは HTML が添付できる掲示板の事例。 添付された HTML は本文の一部として表示されるが、<script> などの危険なタグは削除されるというサニタイズ処理しかし <<script> などと書くと何故か貫通修正されたが、今度は <scr<script>ipt> などと書くと貫通修正されたが、また別の方法でスクリプトが書ける事が発

最近、「これからのウェブ・アプリケーションはAjaxだ」という声を良く聞く。ソフトウェアを生業としているエンジニアとしては、この手の「流行もの（hype）」に触れた時には、表面的なものに踊らされずに、その本質を自分なりにしっかりと捕らえて消化・吸収して自分のものにしなければいけない。今までも、「オブジェクト指向」、「マルチ・ティアー・アーキテクチャー」、などの言葉が一人歩きするたびに、「これからは○○だ」とか「○○の時代は終わった」などと、過激なことを言って読者の目を引こうとだけするマスコミや企業のマーケティング戦略に数多くの人が踊らされてきた。 そんなノイズだらけのメッセージに混乱させられた結果、「Ｃではオブジェクト指向のプログラミングは出来ない」と信じているエンジニアがいまだに沢山いることは全く嘆かわしいことだ。「オブジェクト指向のプログラミング」は、設計姿勢・プログラミングスタイルに

最近、通常のAjaxの先の世界として、「コンポーネント指向Ajax」とでも言うべきものを夢想している。 JavaScript で音を制御してみたよで実験をしたように、小型のJava AppletやFlashコンテンツを、Ajax(JavaScript)の拡張コンポーネントと見立てて使用する、という考え方だ。 ミュージックプレイヤーや、ビデオプレイヤーといった特定の機能に特化したfashコンポーネントを、JavaScriptから制御されることによって、従来のAjax観を大きく覆すようなコンテンツが比較的安価かつ高速に設計できる、と考えている。 この手法により、例えば入力フォーム内にスライダーメニューを設ける、といったことが可能になる。flashで作られた、スライダーコンポーネントは値の変化にしたがって、随時HTML上のhiddun属性のパラメータを更新する（注:サンプルではそこまでやっていな

最近Hotな（死語？）話題としてAjax（「Asynchronous JavaScript + XML」の略：エイジャックス）があります。 Ajax: A New Approach to Web Applications [邦訳]Ajax: Web アプリケーション開発の新しいアプローチ javascript:xmlhttprequest Using the XML HTTP Request object Ajaxとアクセシビリティ Ajaxを使用した有名なアプリケーションとしては、Google Gmail、Google Mapsが知られていますが、サンプルを紹介している日本語サイトとしては以下のものがあります。 Google Mapを利用したシカゴの犯罪マップ Ajaxを利用したアプリケーション Ajax を使った KWIC (KeyWord In Context) これらのサイトのアプ

Google Sitemaps グーグル・サイトマップ（ベータ版）FAQとプロトコル全訳。新しいURL登録方法はSEOに必須になる？ Googleがサイトマップ（Sitemaps）という新しいツールのβ版を公開した（今のところ英語版のみ）。これは、Googleがウェブページを巡回するときに「取りこぼし」のないよう、サイト管理人側でURLの一覧を提供できるというものだ。 今まではGoogleがリンクをたどってきてくれることを待つ（あるいはたどりやすいようにリンクを設定する）という「巡回待ち」をしなければならなかったが、これからは、更新頻度やサイト内でのファイルの優先順位も含めて、リンク一覧をGoogleに渡すことができるようになるわけである。 ただし、これはページランクを上げるためのものではない。あくまでも巡回で取りこぼしがないようにするものだ。ファイル数が多くてすべてのファイルが巡回しても

Flashでに学ぶ非同期通信のノウハウのって感じのお話。JavaScriptでオブザーバパターンを用いて、イベントドリブンなコード（addEventListener等）をバリバリ書く方法です。 というかFlashで言うところの、mx.events.EventDispatcherクラスの自分なりの移植なわけですけど。 このEventDispatcherクラスを使うと、W3CのDOM3にそれなりに対応した、イベントモデルを自作のJavaScriptのオブジェクトに実装できます。これで素晴らしきイベントドリブンの世界が楽しめます。 function EventDispatcher(){} /** EventDispatcher.initialize( obj ) オブジェクトobjに、W3C DOM3互換のイベント通知機能を追加します。 これによりobjは、onLoad等のイベントを発行すること

Webアプリケーションのユーザーインターフェイス[1] ユーザーにとっては “ユーザーインターフェイス”こそが製品そのもの ソシオメディア　上野 学 2005/6/2 ■はじめに Webクライアントの技術が進歩し、多様化するに従って、Webベースのシステムにはデスクトップアプリケーションと同等の品質を持つユーザーインターフェイスが必要となってきています。 しかし開発の現場では、ユーザーインターフェイス（特にGUI）デザインについての専門的なスキルを持った技術者が圧倒的に不足しています。その理由は、ソフトウェア製品におけるユーザーインターフェイスの重要性が正当に理解されていないためと、ユーザーインターフェイス・デザインに関する教育機会がほとんどないためです。 利用者の視点に立てば、ユーザーインターフェイスとは製品そのものです。いくら高度に洗練された仕組みがバックエンドにあったとしても、それが

日本語の REST のリソース集を以前作ったのだが、 日本語では一般人向けの解説がない。 sheepman 氏の REST のページはすばらしいんだけど、多少わかっている人向けだ。 市山氏のプレゼン資料は RoyF の論文を詳しく解説していてよいのだけれど、いかんせんアカデミックすぎる。 技術的な要素も抑えつつ、入門者にもわかりやすい解説はないものかと探していたのだが、みつからない。 英語の文書を訳すことも考えたんだけど、あまりよいものが見つからない。 で、結局自分で書くことにした。 最初はひとつのポストで済ませるつもりだったんだけど、書き始めたら長くなってしまったので、複数のポストに分けることにした。 えらそうなことを書いたが、内容は「ないよりマシ」といったレベルだろう。 前書きが長くなったけど(ここから始まりです。ですます調なのは入門記事だから)、 この記事(から始まる一連のポスト)は

_ 処理フロー 定数の定義 設定ファイル（webapp/config/maple.inc.php） アプリ独自の定義 DIコンテナの生成 ConfigUtils Request Response ActionChain FilterChain リクエストの取得 アクション名の取得 ActionChainにアクション名を追加 ActionChainの実行 アクションの設定読み込み（maple.iniを再帰的に）=フィルタの読み込み FilterChainの生成=読み込んだmaple.iniの内容をセクション毎に各フィルタにセット FilterChainの実行 フィルタはmaple.iniに記述された順に呼ばれていく アクションが追加されていれば上記処理をループ ↑ _ base.ini DIコンテナにシステムとして必要なオブジェクトを格納する セクション名 DIコンテナから取り出すときの

Well sourceforge decided to make their filesystem readonly which takes out Dokuwiki (used for this wiki) which stores content in files. A dump of the content is available here. Note that this is encoded as ISO-8859-1 - if you want to load it into your own Dokuwiki install, you will need to convert it first. See here and here for details. Back when? When the Time Deity chooses to allocate some this