みなさん、はじめまして。はせがわようすけと申します。 最近、文字コードと関連したセキュリティの話題を目にすることが増えてきました。文字コードを利用した攻撃は技術的に未開拓ということもあり、参考となる情報がなかなか見当たりません。この連載では、文字コードを利用した攻撃やそれに対する対策について正しい知識を解説していきます。 文字コードとセキュリティが関連するもっとも大きな点は、やはり文字列の比較でしょう。「⁠危険な文字列の検出」「⁠安全な文字列であることの確認」といった文字列の比較は、セキュリティを考えるうえで避けて通れない処理だと思います。 文字列の比較においては、単純にバイト列を比較するだけでは不十分で、文字列がメモリ上でどのようなバイト列として格納されているのか（このルールを符号化方式あるいは文字エンコーディングと言います）に注意しなければならないこともあるでしょう。攻撃者は巧みに文字

こんにちは、牧野です。 最近、とても暖かくなりましたね。天気がいいことも多く、そんな日は外を散歩するととても気持ちいいです。 さて、今日は軽いネタで、ちょっと便利なLinuxコマンドを紹介します。 １．アクセスログを見る リアルタイムでログを見る時、tailをよく使うと思います。

日本ではMySQLよりもPostgreSQLのが人気が高い（最近のWebシステムでは異なるかも知れないが）。PostgreSQLは初期の頃から速度のみならずトランザクションや信頼性を高める仕組みを取り入れていたので、社内の業務システムでも利用されることがある。 PHP+PostgreSQLによるグループウェア 社内でPostgreSQLを使っていて、これから情報管理を目的にグループウェアを導入するならばGroupSpirit3を検討してみよう。 今回紹介するフリーウェアはGroupSpirit3、PHP4+PostgreSQLという日本製グループウェアだ。 GroupSpirit3はPHP4というのがちょっと残念ではあるが、Apache + PHP + PostgreSQLという組み合わせで提供されている。Windows向けにインストーラーが提供されており、個別にインストールや設定する手間

Linuxで稼動させているApacheにて認証が必要なWebサービスに、Windowsドメイン(Active Directory)の認証情報を使って、シングルサインオンを実現させるまでの手順を備忘録として残しておきます。 今回、ブラウザは、IEとFirefoxにて動作確認を行いました。 Windowsドメインログオンをしているクライアントから、上記2種類のブラウザを使うと、NTLM認証※を利用しているWebサービスには、認証済みのドメインログオンの情報を利用することができ、ユーザ名やパスワードを入力する必要の無いシングルサインオン環境が実現できます。 ※NTLM認証（NT LAN Manager authentication）とは - IT用語辞典 e-Words 前提 今回利用した構成は以下のような感じ。 Webサーバ CentOS 5 Apache 2.2 + mod_auth_ntl

Image-free CSS Tooltip Pointers - A Use for Polygonal CSS? A while back, Tantek Celik released A Study of Regular Polygons, which used a little-known CSS trick to create non-rectangular shapes such as triangles and pentagons with nothing more than an ordinary HTML element. The experiment is very interesting and really cool, but the practical takeaway wasn’t immediately clear. Recently however, we’

僕は最近、SEOmozのPRO会員向けQ&Aを通じて、新たにSEOを始めた人たちと仕事をする機会が多い（ところで、記事が遅れた言い訳をさせてもらうと、Q&Aの書き込みがここ3週間で3倍になって、僕らちょっと手一杯の状態なんだ）。それはそれですごくいい勉強になるし、おかげでSEO初心者にありがちな悩みや誤解も見えてきた。それを少しでも解決するため、今夜は少し時間を取って、中でも大きな問題をいくつか取り上げたいと思う。 あちこちで繰り返しキーワードターゲッティングをしすぎるある特定のキーワードやフレーズをターゲットにする場合、そのキーワードをサイトの全ページにわたってtitle要素とh1要素、それから本文にも入れるべし、とよく間違ったアドバイスがされているけど、そんなことをする必要はない。 もちろん、何かのついでにとか、本当に関連性がある場合にそのキーワード／フレーズを使うのはかまわない。でも

2009年1月、Cyan設計者 林拓人氏とLispの伝道師 竹内郁雄氏との対談「Cyanを設計した高校生、5カ月で5つの言語を習得」が大きな反響を呼んだ。その原因の1つは、竹内氏が発したひと言「わたしの持論ですが、国語ができる（＝日本語できちんとした文章が書ける）人じゃないとプログラムは書けない」だ。これについてネットでは同意する意見が多かったものの、記事中で根拠が明らかにされていなかったため議論が紛糾した。そこで編集部は竹内氏に詰め寄り、「わたしの持論」について詳しく説明してもらうべく寄稿をお願いした。国語力とプログラミング力には本当に相関関係があるのだろうか。 事のいきさつ～Cyan設計者 林くんとの対談で発してしまったひと言が思わぬ反響を呼ぶ Cyan言語で経済産業大臣賞を受けた開成高校の林拓人くんと対談（「Cyanを設計した高校生、5カ月で5つの言語を習得」）しているうちに、つい調

ドットインストール代表のライフハックブログ

ひとことどころか、バグ管理について367ページにわたって書いてしまいました。「実践バグ管理」です。なでしこなどで有名なid:kujirahandさん（クジラ飛行机さんのブログ）との共著です。 実践バグ管理―プロジェクトを成功に導くための 作者: クジラ飛行机,あかさた出版社/メーカー: ソシム発売日: 2009/03メディア: 単行本購入: 6人 クリック: 148回この商品を含むブログ (21件) を見る 本書の特徴 本書の特徴を伝えることには非常に苦労しています。「バグ管理なんて何について書くの？」とかよく言われるわけです。バグ管理のやり方なんてあたりまえ・・・なのかもしれませんが、大抵のプロジェクトに参加すると以下のような現象に遭遇するものです。 Tracなどの運用を始めると、「バグレポートに何を書けばいいのか？」と質問される バグレポートに書かれている内容が意味不明 とある案件では

前回までを振り返る--Unicodeコンソーシアムの影響力 前回はどこまでお話ししましたっけ。世界中の文字の収録を目的とした文字コード規格、Unicodeは、米国のIT企業を中心に結成されたUnicodeコンソーシアムが制定するデファクト規格に過ぎないこと。しかし公的な国際機関が定めるデジュール規格ISO/IEC 10646と同期することで、WTO/TBT協定にもとづき世界中の国々に普及させられるメリットを得たこと。 また、Unicodeコンソーシアム自体はオープンな組織だけれど、意志決定を行うUTC（Unicode Technical Committee/Unicode技術委員会）で一票を投じる権利を持つのは一握りの団体に限られること。そしてUTCはISO/IEC 10646のアメリカ・ナショナルボディであるL2委員会と合同でしか開催されておらず、同時にL2委員会とUnicodeコンソー

ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、検索事業部の角田です。 私が担当しているプロジェクトではPHPUnitとSeleniumを使ってテストを行っています。そして、最近YUI TestというJavaScriptによるユニットテストライブラリを使い始め、JavaScriptのユニットテストがとてもいい感じに思えてきたのでご紹介します。 YUI Testは、Yahoo! Developer Networkにて公開されているYahoo! UI Libraryの数多くあるコンポーネントの中の一つです。その名の通り、JavaScriptのユニットテストを行うライブラリです。JavaによるJUnitやPHPによるPHPUnitを使ったことのある方であれば、すぐに使い方