デブサミ2009「Webセキュリティ攻守攻防パネルディスカッション "Webアプリケーション/Ajaxセキュリティ徹底バトル"」メモ - 元RX-7乗りの適当な日々
豪華な登壇者を迎えたことと、デブサミ2009のA会場の最後のセッションということもあって、ものすごく盛り上がっていました。 Webセキュリティ攻守攻防パネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」 登壇者 モデレータ 竹迫良範 氏 パネラー はせがわようすけ 氏 はまちちゃん 氏 大垣靖男 氏 徳丸浩 氏 id:Hamachiya2さん(はまちちゃん) インフルエンザにかかって3日目。 従って、このセッションを聴講する方はリスクを伴う、とのことw (脆弱性w) Namazuプロジェクトの昔話 2001/11/25。 NamazuプロジェクトのMLに、高木先生から脆弱性の報告が来た。 しかも、MLはオープンになっている公開MLだった。 2日後に緊急リリース、そして非公開のMLを作成した。 XSSについて 信頼できないWebサイトでのXSS対策は無意味 イント
DevSumi2009 Webセキュリティ攻守攻防パネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」 - monjudoh’s diary
XSSで何ができるか? cookie情報、formの送信内容を盗む、偽の情報を見せる 「信頼出来ないWebサイト」でのXSSはそもそも無意味 信頼してほしいならXSSくらい直せ イントラだったら関係ない? むしろイントラ内の方が盗みたい情報がいっぱいある JSONによる秘密情報の漏洩 JSON Hijacking Object.prototype.__defineSetter_で特定プロパティが設定されたら何らかの処理を行うようにする。 JSONをHTMLとして読み込むと上記のコードが入る。 対策 先頭にwhile(1);をつけて、JavaScriptとして実行出来ないようにする(Googleがやった) POSTのみ許可 XHRで特定のリクエストヘッダをつけるようにする レスポンスヘッダにcharsetを指定する charsetにUTF-7を指定すると、きちんとエスケープされているJSON
未来の言語は「APL」? Rubyのまつもと氏が講演 - @IT
2009/02/13 「今日はRubyの話はしません」。プログラミング言語「Ruby」の生みの親で開発コアメンバーでもある、まつもとゆきひろ氏は冒頭でそう話すと、自身のプログラミング経歴や半世紀に及ぶプログラミング言語の歴史を外観しつつ、未来のプログラミング言語へ向けた構想について語った。 書籍だけでPascalを習得した高校生 2009年2月12日、翔泳社主催で東京・目黒で行われた「Developers Summit 2009」でまつもと氏は「未来へつながる言語~ある言語おたくの視点から」と題した講演を行った。立ち見が出るほど詰めかけた観衆に向かって、“最も有名なプログラミング言語オタク”として自身のプログラミング言語観を披露した。 1980年代の高校生時代からプログラミング言語が好きだったというまつもと氏だが、一番最初に使った言語はBASICだったという。ところが、ローカル変数や構造化
2009-02-13
行ってきましたよ。デブサミ2009のコミュニティLT。しかも司会で。あこがれの妙齢の女性 id:ngtyk と一緒に。和服を着て(コスプレだ)。 わたしは、勉強会勉強会の紹介。一番バッターおれおれ。 コミュニティ 発表者(敬称略) 関連URL 勉強会勉強会 よしおかひろたか(id:hyoshiok) http://groups.google.co.jp/group/metacon DevLove 市谷(id:papanda0806) http://groups.google.co.jp/group/devlove-link OpenSolarisユーザーグループ 加藤、瀧、太田 http://jp.opensolaris.org/ リナックスコンソーシアム 柏貴光 梅村知正 http://www.linuxcons.gr.jp/ オブジェクト倶楽部 懸田剛 http://ObjectClu
デブサミ2009「株式会社はてなの開発戦略」講演メモ - 元RX-7乗りの適当な日々
何だかんだで、今日唯一参加させていただいたセッションのメモ。 とりあえず、もうSubversionは捨てようと思います。 「株式会社はてなの開発戦略」 講演者 舘野 祐一 氏 id:secondlife 株式会社はてな 現在は、はてなブックマークのリードプログラマ PerlやらJava Scriptやら 社内開発環境整備 開発環境改善好き はてな 現在、従業員60名(アルバイト含む) うちエンジニア30名 インフラ8名、アプリケーション22名 2008年、はてなの開発に変化が・・・ git! git 分散VCS svnと比べて動作が高速 低コストなブランチ作成 賢いマージ SHA1によるデータ管理 コミットの情報など、全てがSHA1で管理される リビジョン1000などの概念はない 2008年初頭の世間の変化 RailsのVCSがgitへ移行 githubの出現 gitのこれはべんり svn
shinoのときどき日記(2009-02-12)
■ デブサミ2009に行ってきた。 Ruby1.9の現状と導入ポイント ぜんぜんRubystじゃないくせに、ひとつのインタプリタ言語のバージョン変わる時、どういうことが必要か、どういう動きがあるのかを知りたくて、Yuguiさんのセッションを聞いてきました。 で、得たことは、過去のことはばっさり捨てる。未来のことは曖昧だけど、何かあるだろうという認識でおさえとく。3年くらいは保証する?ということでした。 もちろん、過去の1.8系バージョンのマイナーブランチはまたバグ対応なりなんなりでアップしていくけれど、それは、1.9系ではみない。別世界という認識。 いや、重要なのは、そういうバージョンがとか、ブランチがどうのという話ではなく、その前の、過去の積み重ねは積み重ねとして尊重しつつもばっさり切り離し、自分がみるべき今をはっきりさせつつ、しかし、未来が曖昧であってもそれはそのときに任せるという、姿
Developers Summit 2009 株式会社はてなの開発戦略 1/2 - モノノフ日記
昨日、最後のセッションだけ聞いてきました。トピックは下の2つでした。 svn->gitへの移行 はてなブックマークリニューアル ちょっとメモが長くなったのでトピックごとに記事を分けています。 まずgitの話から。最初はgitってこんなモノだよ、という解説。はてなは完全にgitへ移行したらしいけど、その理由がsvnのリポジトリがぶっ壊れたからってのにワロタ。でもそういう機会でも無いとなかなか現存の環境からの移行は進まないだろうな、とも思います。しかしRAID1で組んでて両方のHDDが逝ってたとかなかなか無いような。 はてなのgitの運用はsvnみたいな全員に共通のコミット用レポジトリにpushする方式みたいでした。そりゃ直接各人のツリーをpush/pullするのは運用が難しすぎるよね。 後半の方はgitをこんな感じに使ってます、という事例だったんですがあれはgit触ったこと無い人は意味わから
Developers Summit 2009 株式会社はてなの開発戦略 2/2 - モノノフ日記
後半は、はてブのリニューアルしたときのお話でした。主にアプリの設計周りとテストの話だったので非常に面白かったし参考になりました。既存のフレームワークは便利だし素晴らしい設計だと思うけど、仕様をガッツリ変えちゃうこともあるしWAFに踊らされてる感が確かにあるので社内用途にあった物を自作するのは全然ありだと思います。 MVACで分けているのが冗長かどうか、という点が講演中に言われてましたがレイヤごとに完全に仕事を切り離してるので特にそうは思わなかったですね。逆にコントローラになんでもかんでも処理突っ込んで平坦なプログラムの方が保守性落ちて後から死ねる気がします。OOPで階層化すると若干構成が冗長気味になるのは仕方無いんじゃないかな。(OOP完全に理解しているとは言えないのでここらで自粛) あとTDDは新規機能だとやりにくいってのには非常に同意してしまった。本当は駄目なんだろうけどw 自分の場合
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DevLOVEコミュニティLT in デブサミ2009 - The Dragon Scroll