Internet Explorer 9の自動インストールをブロックする
ところが、マイクロソフトはこの確認のダイアログを表示せずに、自動的にWindows Update/自動更新でIE9がインストールされるようにする予定があることを発表した。日本での開始時期は未公表だが、各国・各地域にて2012年から順次始めるとのことだ(詳細は関連記事を参照)。これにより、いつものように毎月のセキュリティ・パッチを適用したら、いつの間にかIE9がインストールされていたという事態が予想される。IE9での検証が終わっていないWebアプリケーションなどを使っている環境では、避けなくてはならない事態だろう。 そこでマイクロソフトは、Windows Update/自動更新によるIE9の自動インストールを回避したい場合は、以前から提供されていた次のソフトウェア・ツールを使って、あらかじめ自動インストールをブロック(無効化)しておくことを推奨している。このツールでいったん無効化の設定をする
[さらに気になる]JSONの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) 次は、JSONにおけるセキュリティ対策 皆さんこんにちは、はせがわようすけです。第4回「[気になる]JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。 JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使い方が一般的です。 まずはサーバ側から送られる情報と、クライアント側での処理、それぞれの内容を見ておきましょう。 [サーバ側] HTTP/1.1 200 OK Content-Type: application/json; charset=
![[さらに気になる]JSONの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
第4回 要素の操作&ユーティリティ編
<style type="text/css"> .self { background-color:Yellow; } .sib { border: solid 1px Blue; margin: 5px } </style> ……中略…… <script type="text/javascript"> $(function() { $('div#self'). // <div id="self">要素を取得 prepend('<div class="sib">兄</div>'). // 子要素先頭に追加 append('<div class="sib">弟</div>'). // 子要素末尾に追加 before('<div>伯父さん</div>'). // 要素の前方に追加 after('<div>叔父さん</div>'); // 要素の後方に追加 }); </script> ……中略…
HTML5に関わらないと日本企業は世界から遅れる (2/2) - @IT
HTML5が拓く新しいWeb(5. W3C編) HTML5に関わらないと 日本企業は世界から遅れる 新野淳一 Publickey 2010/4/6 そもそも、HTML5 JAIGが出来た経緯とは ――― スミス氏のバックグラウンドも教えていただけますか? スミス 私がW3Cに参加する前、3年前にはWHAT WG(Web Hypertext Application Technology Working Group、もともとHTML5を提唱したグループ)にいて、そこで活動していましたし、いまでも活動しています。 多くの人がW3CとWHATWGが衝突しているように見ていますが、その人たちはW3CのHTML Working GroupとWHAT WGのメンバーが基本的に同じグループの人たちだということを忘れているのでしょう。HTML Working GroupのEditor、Ian Hickson
D89 CSS/スタイルシート リファレンス辞典 ─ デザインハック@IT
GASで棒、円、折れ線など各種グラフを作成、変更、削除するための基本 (2017/7/12) 資料を作る際に、「グラフ」は必要不可欠な存在だ。今回は、「グラフの新規作成」「グラフの変更」「グラフの削除」について解説する GET/POSTでフォームから送信された値をPHPで受け取る「定義済みの変数」【更新】 (2017/7/10) HTMLのフォーム機能についておさらいし、get/postメソッドなどの内容を連想配列で格納するPHPの「定義済みの変数」の中身や、フォーム送信値の取り扱いにおける注意点について解説します【PHP 7.1含め2017年の情報に合うように更新】 PHPのfor文&ループ脱出のbreak/スキップのcontinue【更新】 (2017/6/26) 素数判定のロジックからbreak文やcontinue文の利点と使い方を解説。for文を使ったループ処理の基本とwhile文
D89 Web標準HTMLタグリファレンス ─ デザインハック@IT
GASで棒、円、折れ線など各種グラフを作成、変更、削除するための基本 (2017/7/12) 資料を作る際に、「グラフ」は必要不可欠な存在だ。今回は、「グラフの新規作成」「グラフの変更」「グラフの削除」について解説する GET/POSTでフォームから送信された値をPHPで受け取る「定義済みの変数」【更新】 (2017/7/10) HTMLのフォーム機能についておさらいし、get/postメソッドなどの内容を連想配列で格納するPHPの「定義済みの変数」の中身や、フォーム送信値の取り扱いにおける注意点について解説します【PHP 7.1含め2017年の情報に合うように更新】 PHPのfor文&ループ脱出のbreak/スキップのcontinue【更新】 (2017/6/26) 素数判定のロジックからbreak文やcontinue文の利点と使い方を解説。for文を使ったループ処理の基本とwhile文
W3Cは賞味期限切れ組織? - @IT
「W3Cの賞味期限はあと何年ぐらいだと思いますか?」。先日、あるパーティーでこう聞かれた。私は虚を衝かれたように、思わず真意を聞き返した。なぜなら、私にこの質問をしたのは、日本人として唯一、W3CのXMLワーキンググループで1997~98年のXML 1.0の標準化プロセスに携わった村田真氏だったからだ。村田氏は現在、Office Open XML(主にMicrosoft Officeで用いられる文書形式)の標準化についても情報処理学会 情報規格調査会の専門委員として国際標準化に携わっているなど、この道のエキスパートだ。 驚きはしたが、やはりとも思った。W3Cはもう標準化組織としての黄金期を過ぎ、権威が失われつつある。もしかすると標準化プロセスにしても、もっと良い別のやり方があるのではないか。このところずっとそう感じていたからだ。 W3Cのウィジェット標準を知っていますか? 村田氏の見立てで
5分でわかるクラウド・コンピューティング
なぜいま、クラウド・コンピューティングなのか。過去の類似コンセプトとの相違や、クラウドの階層と提供事業者、普及度は? クラウド・コンピューティングという言葉が聞かれるケースが多くなってきています。あたかも雲から何かが降ってくるかのようなイメージで、ネットワーク上にあるサーバのサービスを活用できるというコンピューティング形態を指す言葉です。「確かにイメージとしては分かるのだが、あいまいでまさに『雲をつかむような』話だ」と考えている人も多いのではないでしょうか? また、SaaSやグリッド・コンピューティングなどのクラウド類似の概念は以前から存在しているため「どこが新しいのか?」といぶかる人もいるでしょう。 以下では、クラウド・コンピューティングの言葉の定義、具体的内容、企業ユーザーへの影響などについて見ていくことにします。 1.クラウド・コンピューティングとは 前述のとおり、クラウド・コンピュ
Webサイトを“速く”表示させる7つの計測ポイント(1/2) - @IT
株式会社ライブドア マークアップエンジニア 浜 俊太朗 2009/3/24 FirefoxやYSlowを使ってWebサイトの問題点を探るには? ライブドアブログを速くした著者が7つのポイントを伝授します(編集部) Webサイトは“見た目”が重要なのは当たり前だが…… 皆さんはWebサイトを作るときに、どのようなことを意識していますか? デザイナや主にHTMLのコーダー/マークアップエンジニアと呼ばれる職種に就いている人は、やはり“見た目”を強く意識しているのではないでしょうか。 例えば、複数のWebブラウザで同じか近い表示になるようにとか、リリース後の更新業務によって表示崩れが起きないように、などです。もちろんそれは職種の適性として正しいものですが、実はほかにも意識した方がよい重要な要素があるのです。 良い印象を与えるには、“速度”も重要 Webサイトを見たユーザーが、良い印象を受けるのか
SVGを殺すのは誰か - @IT
主流ブラウザのバージョンの入れ替わりは、Web開発者やシステム開発者にとって大きな意味を持つだろう。それにしても記者が残念に思うのは、IE6がIE7に置き換わっても、Webブラウザ上でベクターグラフィックを扱う方法が相変わらず限られているということだ。現在一般に普及しているWebブラウザの中で、「SVG」(Scalable Vector Graphics)をまったくサポートしていないのはIEだけと言っても過言ではないからだ。 @IT読者には釈迦に説法だろうが、コンピュータで画像・グラフィックスを扱う上でラスターグラフィックとベクターグラフィックの双方は相補的関係にある。画像の個々のピクセルを扱うラスターグラフィックに対して、ベクターグラフィックは直線・曲線などの幾何図形を扱える。地図やグラフ、ロゴ、説明図、ページデザインなど、ベクターグラフィックで扱うべきデータは多い。表示サイズに合わせて
一攫千金! デザイナのためのmixiアプリ制作のコツ (1/3) - @IT
一攫千金! デザイナのためのmixiアプリ制作のコツ:一撃デザインの種明かし(8)(1/3 ページ) ケータイ版の提供もスタートして、ますます注目を集める「mixiアプリ」。mixiの特徴を生かした制作事例とデザイナが制作する際のポイントを紹介します。カヤックのオリジナルデザインテンプレートも大公開! 「mixiアプリ」って、そもそも何だっけ? mixiアプリとは、mixiのユーザーがmixiの中で遊べるアプリケーションのことです。 2009年10月の時点では、ざっと550個以上のmixiアプリが公開されています。個人や企業を問わず、誰でも自由に作ることができるので、いま多くのクリエイタが「この波に乗っかれ!」といわんばかりに、こぞってアプリを作っています。mixiアプリの一番の魅力は、mixiのユーザー数ではないでしょうか。なんと、2009年10月現在で1700万人以上となっています。こ
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
@IT:クロスサイトスクリプティング対策の基本
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロスサイトスクリプティング脆弱性について正確に理解している人が依然として少ないと感じる。 本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのようなセキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを解説していく。 ※以下本文中では、クロスサイトスクリプティング脆弱性のことを「XSS」と表記する。「Cross Site Scripting」の略であるから「CSS」と表記している記事もあるが、「Cascading Style Sheets」の略も「CSS」となり紛らわしいため、「XSS」と表記する場合が多くなってきている。本稿で
Rubyを最大63%高速化した中学生は超多忙!
金井仁弘(HN:CanI)氏 撮影:平沼久奈 ハンドルネームCanIの由来は、「“Can I”→キャナイ→カナイ」。C#、Visual Studio、Microsoft .NETとマイクロソフト製品が大好きな「.NETer」と自称する 筑波大学付属駒場中学校は、東京都内にある中高一貫の国立校だ。入学試験の偏差値と東京大学への進学率の高さから“東の筑駒、西の灘”と称される進学校である。強いのは受験だけではない。国際情報オリンピックや国際数学オリンピックでは、同校の生徒が毎年のように金・銀メダルを制するなど才能あふれる理数系人材が多数在籍している。 金井氏はこの夏の「セキュリティ&プログラミングキャンプ2009」(2009年8月12~16日)に参加し頭角を現した中学生プログラマである。 今年に入って、Ruby 1.9のフィボナッチ数列による演算(多倍長加算
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://atmarkit.itmedia.co.jp/ait/subtop/features/da/dt_jqueryref_index.html
連載インデックス「CSSの書き方も分かるjQueryプラグイン実践活用法」 - @IT
https://atmarkit.itmedia.co.jp/fwcr/design/
連載インデックス「Webブラウザ別CSSハック&フィルタTips」 - @IT
連載インデックス「WebデザイナのためのHTMLチューニング入門」 - @IT
