[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
Big Sky :: C++で軽量Webサーバ書いた。
書いたといっても結構前からあったのですが、いらん所を削ぎ落として軽量Webサーバとして仕立て上げました。 軽量とは言えど、CGIを使って結構色々動きます。 例えば、ソースアーカイブを解凍したらCGIがあって、apacheから見える場所にコピーして...とか面倒くさかったりしますよね。 おれは今すぐWebサーバを起動したいんだ!そして今いるディレクトリのファイルをWebサーバからサーブしたいんだー! って事ないですか?blogソフトウェアをダウンロードして今すぐ試したいけど、apacheインストールされてなかった...とか悲しすぎます。 今回紹介する"tinytinyhttpd"(tthttpd)はそんな、小さい様で大きな問題を解決出来るかもしれないソフトウェアです。 mattn's tinytinyhttpd at master - GitHub tiny tiny httpd http:
WebブラウザだけでRuby、Python、XAMLを実行する·Gestalt MOONGIFT
Webブラウザ上で使えるプログラミング言語は限られたものだけだ。JavaScript、ActionScript、Javaアプレット、ActiveXなどだろうか。それ以外のRubyやPerl、Python、PHPといった言語はサーバサイドで使うしかなかった。 HTMLのソース。確かにRubyだ。もちろん実行できる しかしその可能性が広がるかも知れない。HTMLにRubyやPython、そしてXAMLといった言語がそのまま書け、そして実行できるのだ。 今回紹介するオープンソース・ソフトウェアはGestalt、Webブラウザ上でRuby/Python/XAMLを実行可能にするライブラリだ。 種明かしをすれば、使っているのはSilverlightだ。Silverlightは言わずと知れたマイクロソフトの技術であり、.NET系だ。そしてGestaltはIronRubyやIronPythonといった.
オレオレ検索窓を設置しよう - mixi engineer blog
まだピクミン2をクリアしてないのでケジメ的に新作ゲームを買えないmikioです。今回は、Tokyo Cabinetを使って激烈簡単に特定サイトの専用の検索機能を設置する方法について説明します。クローリングから検索までを10分くらいの作業で可能にします。 特定サイトの検索エンジン Web全体の検索機能を作るのは、途方もない技術力と設備を持っているGoogleやMicrosoftなどのビッグプレーヤでないと難しいのが現実です。でも、自分が気に入っているいくつかのサイトを対象とした検索エンジンを作るのであれば個人だってできます。また、インターネットから手が届かないイントラネットのコンテンツの検索機能は自分達で手がけないと構築できません。 ということで、企業用の検索システムが数多く売られていますし、LuceneやGroongaやHyper Estraierなどのオープンソース製品も世に多数存在しま
アクセシビリティから考える画像のマークアップ
はじめに 本連載では、Web標準のメリットを最大限に生かすことをテーマに、仕様書には書かれていない部分を中心に取り上げ、実際のWeb制作現場で起こり得る問題について、解決の糸口をたらしていきたいと思います。 連載第4回目となる今回は、「画像の代替テキスト」について扱います。「画像の代替テキスト」は、Webアクセシビリティの指針である「WCAG 2.0(Web Content Accessibility Guidelines 2.0)」や「JISX-8341-3(JIS X 8341-3:2004 高齢者・障害者等配慮設計指針-情報通信における機器、ソフトウェアおよびサービス-第3部:ウェブコンテンツ)」の中でも扱われている基本的な部分です。「画像の代替テキスト」について、前回の記事で紹介した「構文の妥当性」と「目的の妥当性」の両方の側面からみていくことにしましょう。 対象読者 XHTMLと
100行のCプログラムでWebチャットを実装する方法 - mixi engineer blog
例の冷却ファンを修理してもらいに秋葉原に行ったのですが、最近の同人ゲームのクオリティはすごいなあと感心していたら、その二階はもっととんでもないことになってて、ひとつ大人になってしまったmikioです。今回は、Tokyo Cabinetのテンプレート直列化機能を駆使して、たった100行のCプログラムでWebチャットシステムを実装してみます。 古式ゆかしいWebチャットシステム 10年くらい前にCGIスクリプトでチャットシステムを作るのが流行していたのを覚えている方も多いと思います。チャットログは現在のようにデータベースサーバに転送して格納するのではなく、ローカルファイルシステム上のファイルにCSVやTSVなどのフォーマットで格納したり、同じくローカルのDBMファイルに格納するのが主流でした。2ちゃんねるの「datファイル」もそのようなデータファイルの一種と言えるでしょう。 その頃から、CGI
無料サービスを活用して手軽にwebサイトを作るための12選[ネタ帳内]
最近、副業に手を染めたいアナタへ贈る11選とか、教えて君ネットがゴールデンウィーク前に仕掛けたXPやVistaを極限まで軽くする! 19のチューニングテクとかを見て、『あーなるほど!』って思った事がありまして。 よーく見るとまとめなんですが、自分のところの記事を、これまたうまい具合にまとめてあって、これはこれで、地味に価値のある行為だなぁと感じた次第です。 そんなわけで、早速ネタ帳でもまとめてみようと思いました。まぁ、いざまとめようと思うとまとまらないもので、今回はwebサイトを作成するときに使いそうな色々をまとめてみました。 webサイト作成前のデザインを決められないでいる人には 100のCSSギャラリーサイト 膨大なハイクオリティサイトを見る事が出来ます。 悩んでいるならまず他の人を見てみるのもいいかもしれないですよ。 webサイト作成時にサイトカラーを決められない人の為のwebサービ
![無料サービスを活用して手軽にwebサイトを作るための12選[ネタ帳内]](https://cdn-ak-scissors.b.st-hatena.com/image/square/20e60dafbd3a5e5c465259c72af3a3a5532bcbcd/height=288;version=1;width=512/https%3A%2F%2Fblog-imgs-55.fc2.com%2Fe%2F0%2F1%2Fe0166%2Fl.jpg)
おそらくはそれさえも平凡な日々: Akamaiが想像以上に物凄かった件 in Akamai勉強会
続きというか、お詫びを書きました。 文章を多少修正しました。技術的な点は色々誤りがあると思いますので、あまり信用しないでください。詳しくはgeekpageさんがじきに書いてくださるはずです。 入口にあった、Akamaiサーバーがリアルタイムに捌いているトラフィックを可視化した地球儀が映ったモニター。アメリカが早朝なのでトラフィックは850Gbpsと少な目(笑) それでもアメリカのバーの長さは凄い やすゆきさんという方が、Blogでひっそりと告知していたのが、IT勉強会カレンダーに載っていて、それを目ざとく見つけて行ってきた次第。募集枠5人とかだったので、焦って申し込んだら、実際そんなに募集は来なかったみたいで意外。僕なんか「Akamai」って書いてあっただけで飛びついたのに。内輪に近いノリだったてのもあると思うけど、案外「Akamai」には訴求力が無いのかね。まあ、インターネットの裏の支配
「Amazon EC2を使った実践SaaS運用事例」の資料を公開します+参加記録 (ITproテクノロジ・カンファレンス) - 元RX-7乗りの適当な日々
先日、4/10に開催された"ITproテクノロジ・カンファレンス(徹底理解「Amazonクラウドサービス」)"にて、『Amazon EC2を使った実践SaaS運用事例』というテーマで発表しました。 (参考: IT pro テクノロジ・カンファレンスで話をします(徹底理解「Amazonクラウドサービス」)) これは、TIS/SonicGardenで展開している「SKIPaaS」というサービスを構築・運用する過程で、何故Amazon EC2をインフラとして採用したのか、Amazon EC2をどう活用しているのか、何が問題点でどういう工夫をしているのか、今後の課題・改善点は何か、といった内容です。 日経BP社様のご好意で、資料を公開してOKという許可をいただきましたので、以下に公開します。 Amazon EC2を使った実践SaaS運用事例 from Yuuki Namikawa ↑の資料のポイン
ブラウザ上で Ruby を試せる「IRBWEB」を作ってみた - てっく煮ブログ
ruby, silverlightRuby を試してみたいけどインストールするのは面倒…。そんな人のためにブラウザ上で Ruby を試せる IRBWEB というサービスを作ってみました。irb のように、Ruby の構文を実験できてとてもお手軽です。 IRBWEB完全にブラウザ上で動作するため、動作もさくさく。ちょっとしたコードを書いて動作確認も楽しめますね。なお、変数を定義するには $a のようにグローバル変数として定義しないと、次の入力で参照できません。動作環境Silverlight 2.0 のランタイムが必要です。Silverlight 2.0 は Windows の IE だけでなく、Firefox や Mac の Safari、さらには主要な Linux ディストリビューションでも動作するので、この機会にインストールしてみるとよいですね。仕組みSilverlight 2.0 には
ウェブページの高速化に必要なもの
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、オークション事業部のさかいです。 ネットサーフィンに慣れている techblog 読者のみなさんの中には、あちこち見て回っているうちに重いページに行き当たり、イライラしながら応答を待ったり、容赦なくバックスペースキーで前のページに戻ったり…という経験をされた方が多くいらっしゃると思います。 そういったストレスのないレスポンスが行えるよう、バックエンドのプログラムの最適化や、サーバーのチューニングを行うのは私たち技術者の仕事のひとつです。 しかし、あるウェブサイトにアクセスして、そのサイトを閲覧できる状態になるまでの時間のうち、そういったバックエンドでの処理に必要な時間は 1〜2 割でしかないというデータがあります。残り
文字コードのセキュリティ問題はどう対策すべきか: U+00A5を用いたXSSの可能性 - 徳丸浩の日記(2009-03-11)
_U+00A5を用いたXSSの可能性 前回の日記では、昨年のBlack Hat Japanにおける長谷川陽介氏の講演に「趣味と実益の文字コード攻撃(講演資料)」に刺激される形で、Unicodeの円記号U+00A5によるSQLインジェクションの可能性について指摘した。 はせがわ氏の元資料ではパストラバーサルの可能性を指摘しておられるので、残る脆弱性パターンとしてクロスサイト・スクリプティング(XSS)の可能性があるかどうかがずっと気になっていた。独自の調査により、XSS攻撃の起点となる「<」や「"」、「'」などについて「多対一の変換」がされる文字を探してきたが、現実的なWebアプリケーションで出現しそうな組み合わせは見つけられていない。 一方、U+00A5が処理系によっては0x5C「\」に変換されることに起因してXSSが発生する可能性はある。JavaScriptがからむ場合がそれだ。しかし、
■ - picasの日記
[nicoboom]終了します。ごめんなさい はてな記法を忘れるくらい間があいてしまいました。 いろいろなことにかまけてnicoboomのメンテナンスを怠っておりました。 Ruby on Rails + MySQLを使って作っていたのですが、昨年夏ぐらいからデータ量増加に伴うレスポンスの低下が目に見えてきて、DBと構成を変えて試している途中でだめな人になってしまった感じです。あとちょっと忙しさにかまけて。言い訳です。 ニコニコチャート様が、うちでやっていたこと+αをされていますし、最近ニコニコ動画を見たら推移とか見れそうな感じになっていて、すこしほっとしました。 webサービスを作るには、思ったことを形にもっていくやる気がまずないと始まらないのではありますが、webサービスを「やっていく」には、それだけでは足りなくて、こつこつと面倒を見る底力のようなものが必要なのだと思いました。 参考にな
img要素でalt属性の内容がポップアップしない - Web標準普及プロジェクト
img要素でalt属性の内容がポップアップしない img要素のalt属性に値を設定しておくと、 その画像の上にマウスカーソルを乗せた時にポップアップによってその画像の説明が出る、 またはalt属性そのものがそういう役割の属性であると認識している人がいるようですが、 このような考え方は間違いです。 alt属性の仕様 img要素のalt属性の説明を仕様書から見てみましょう。次のように書かれています。 alt = text [CS] この属性は、画像、フォーム、アプレットを表示できないユーザエージェントのために、 代替テキストを指定する。代替テキストの言語は、lang属性で指定する。 非テキスト系の要素である、IMG、AREA、 APPLET、INPUT要素は、著者に対し、 当該要素が順当にレンダリングされない場合の要素内容として提供される代替テキストを指定することを求める。 代替テキストを指定
高品質なiPhone向けWebサイトを構築するフレームワーク·iWebKit MOONGIFT
iPhoneやiPod Touch向けのサービスを提供してみたいと思う人は多いはずだ。だが専用アプリケーションの開発はObjective-Cを習得する必要があったり(他の言語でもできるが)、App Storeへの申請が面倒に感じてしまうかも知れない。 iPhone/iPod Touch向けサイトを作るのに便利 その点、Webサイトであれば申請も不要ではじめられる。ネットワーク必須のサービスを作るならSafari経由でも十分かも知れない。そんな時に便利なフレームワークがiWebKitだ。 今回紹介するオープンソース・ソフトウェアはiWebKit、iPhone/iPod Touch向けのWebサイトを構築するフレームワークだ。 iWebKitを使うと、iPhoneやiPod Touchに適したWebサイトを簡単に構築できるようになる。左に移動していくナビゲーションや、テキストや画像を使ったリス
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2009/06/05/20090604google-opens-up-internal-speed-tool-to-the-public/
どんなファイルでもウェブページに変換してくれるサイト「Flie2.ws」*二十歳街道まっしぐら(FC2ブログ時代)
rendr 2.1
かなり自由にスタイリッシュなボタンを作れるジェネレータ『Da Button Factory』 - 100SHIKI 〜 世界のアイデアを日替わりで 〜
Web ページを高速化する
