Masato Kinugawa Security Blog: ユーザ入力を使った正規表現から生じるDOM based XSS
お久しぶりです&あけましておめでとうございます。昨年はブログを書く時間をうまく作ることができず、あまり記事を書けませんでした。今年はできるだけ月に1回程度何か書いていきたいと思っています。今年もよろしくお願いします! さて、ブログを書かなかった間にXSSからSQLインジェクションへ興味が移った、なんてことはありませんでしたので、今日もいつも通り大好きなXSSの話をしたいと思います! 最近、正規表現にユーザ入力を使っていることに起因するDOM based XSSに連続して遭遇しました。あまり見慣れていない注意が必要な問題だと思うので、この記事では、見つけたもの2つがどのように生じたか、また、問題を起こさないためにどうすればよいかを紹介します。 そのうちの1つはLINEのBug Bounty Programを通じて報告した問題です。 賞金と、"LINE SECURITY BUG BOUNTY"
GoogleはSpectreとMeltdownの対策を昨年6月に開始し12月には完了していた。性能低下の報告はなし
GoogleはSpectreとMeltdownの対策を昨年6月に開始し12月には完了していた。性能低下の報告はなし インテルやAMD、ARMなど、現在使われているほぼすべてのCPUに影響する深刻な脆弱性「Spectre」と「Meltdown」が表面化した問題について、Googleはすでに半年以上前、2017年6月にこの脆弱性への対策を開始し、12月には完了していたことを明らかにしました。 現時点では多くの報道などにおいて、この脆弱性に対処するための修正を行うとCPUの性能低下を引き起こす可能性があることが指摘されています。またインテルは脆弱性対策のためのファームウェアを適用すると、デスクトップPC向けのベンチマークにおいて、6パーセントかそれ以下の性能低下の可能性があると発表しています(サーバ用途における性能低下の影響についてはまだインテルから発表されていません)。 ところがGoogleは
AWSもSpectreとMeltdownの対策完了を報告。対策後、Amazon EC2で性能の低下は見られないと
Amazon Web Services(AWS)は、「Spectre」および「Meltdown」と名付けられたCPUの脆弱性に関して同社の対応をまとめたWebページ「Processor Speculative Execution Research Disclosure」において、すでに脆弱性対策が済んだことを報告しています。 AWSがこうした特設ページを設けるのは珍しいことで、本件の重要性と緊急性の高さがうかがえます。 ただ、Googleが脆弱性の詳細な報告と対策の経緯などを詳細にブログで開示したのに対し、AWSの情報提供は実務的であっさりしたものになっています。 Amazon EC2のワークロードに性能低下は見られない 下記はAmazon EC2に関する報告を引用したものです。すべての対策が済んだと報告されています。また、OSのアップデートが推奨されています。 All instances
コードレビューにこそ、コーチングのアプローチを適用するべきかも - little hands' lab
3つのコミュニケーションパターン 会社でコーチング研修があり、(主に部下と1on1を想定して)コミュニケーションパターンが以下の3つに分けられるという話がありました。 コーチング: 「答え」は相手の中にある 相手の話を聞く/問いかける/人となりを認める ティーチング: 「答え」はこちらにある 知識ややり方を教える/相手が理解してないことを説明する フィードバック: 成長を促すために、周りからどう見えているか、思われているかを伝える ポイントは 「いつもティーチングで自分が思うことばかり言ってしまってないか?アプローチには種類があることを認識し、適切に使い分けていこう」 という話でした。 これだけでもとても面白い話だったのですが、「これ、コードレビューでも同じではないか?」と思ったのです。 レビューにおけるティーチングとコーチング ティーチング ティーチングはいわゆる「指摘」です。 プルリク
help/Watch (ウォッチ) で記事の通知を受け取る
> Watch(ウォッチ)とは?Watch(ウォッチ)とは? 特定の記事に変更やリアクションが加わった場合に、通知を受け取るための機能です ウォッチ中の記事に何らかのアクションがあった場合に、通知を受け取ることができます 特定の記事の編集に参加したり、コメント投稿を行った際には自動的にウォッチ開始されます また記事のウォッチは任意に開始 / 終了することもできます 自身が関わった記事や、気になる記事の、変更やリアクションなどの状況を追跡したい場合に便利な機能です > ウォッチ中の記事の通知を受け取るウォッチ中の記事の通知を受け取る ウォッチ中の記事に何らかのアクションがあった場合に、通知を受け取ることができます 記事が 更新 された時(WIP / Ship It いずれも) 記事に コメント が投稿された時 通知は以下の2種類の方法で受け取ることができます 通知があると、画面右上の「通知窓
GraphQLのMutationのビジネスロジックのエラーはどうハンドリングすればいいのか - taiyoh's memorandum
最近調査していた内容のメモ。 GraphQLのJSONレスポンスは data と errors の2つのキーに内容が大別される。 基本的に、期待するレスポンスが返せないときは errors にエラー内容が入るというのがGraphQLでやろうとしていることだが、特にMutationにおけるビジネスロジックのエラーはどう記述すればいいだろうか。 恐らくFacebook的には「ダメです!」とエラーダイアログを表示させて終了なのかもしれないが、世の中のサービスが全部それに倣っているということはなく、エラーとなった要素をクライアント側で特定して赤くしたりエラー文言を添えたりしたい、なんてケースはよくある。自分の担当しているサービスもそんな感じだ。 ひとまずRelayのドキュメントを開いてみる→ Mutations · Relay ざっくりと「レスポンスには(追加・削除含め)変更のあったTypeのオブ
東京都健康安全研究センター » ビル利用者のインフルエンザの予防について 建築物衛生のページ
令和5年7月5日更新 冬期にはインフルエンザの流行が懸念されます。予防のためには、日頃の健康管理はもちろんのこと、オフィスや学校など多くの人が一日の大半を過ごす室内環境の管理が大切です。 インフルエンザ流行時には、換気量を確保しウィルスを外に排出するとともに、喉や鼻の粘膜を乾燥から保護するため、適正な湿度の保持が重要です。 建築物環境衛生管理技術者は、利用者の健康を確保するため、インフルエンザの発生状況や予防方法等に関する情報収集についても心がけることが必要です。 目次 換気量の確保について 室内の換気 換気量に関する管理基準 相対湿度の保持について 冬期の温湿度 相対湿度に関する管理基準 インフルエンザ関連情報 インフルエンザ情報 新型インフルエンザ情報 参考リンク 換気量の確保について 1.室内の換気 室内の換気が不十分な場合、空気中の汚染物質が蓄積されやすい状況になります。特に冬期は
JSer.infoを開始してから7年が経ちました
2011年1月15日にJSer.infoを開始してから今日でちょうど7年となりました。 今年は特にイベントもないので簡単にJSer.infoの振り返りを書いてみます。 去年の紹介記事 去年一年間に紹介したサイト数は1074でした。 また、今までのすべての紹介したサイト数の合計は7691でした。 JSer.infoの紹介したサイトデータはすべてデータ化されているので次のページから見れます。 jser/jser.info JSer.info Data Dashboard JSer.infoのゴール あらためて振り返るとJSer.infoのゴールは次のようなものです。 「JavaScriptに興味がある人にもっとJavaScriptを知ってもらう」 「JavaScriptの情報を整理して正確に伝える」 「更新コストを小さくして、継続できる形を作る」 毎年この時期になるとゴールを振り返って、そもそ
エンジニアの働き方とかについてのエモい記事 | κeenのHappy Hacκing Blog
κeenです。 非エンジニアのマネージャがエンジニアチームと上手くやる方法の記事に影響を受けてエンジニアとしての意見を書いてみようかなと。 非エンジニア向けのつもりです。 ここでいうエンジニアはソフトウェアエンジニアのことです。 Disclaimer ある程度客観的になるように気をつけてますがあくまで私個人の意見です。エンジニアを代表するようなものではありません。 κeenはまだエンジニア3年目くらいの若造なのて「それは違うんじゃねーの」と思ったところがあったら多分あなたが正しいです。 仕事内容 エンジニアの仕事は外から見たら何してるかよくわからないらしいですね。 ふつう仕事の成果物はエンジニアの間でしか共有してないのでまあ、そうなるでしょう。 なので「何をしているか」を説明するのはやめて「仕事しているときにどんな気持ちか」を話しましょう。 エンジニアの仕事は頭脳労働です。 それも問題解決
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
実習生3年で22人労災死 外国人技能制度、過労死も - 共同通信 | This Kiji
sugyan と焼肉を食べに行く会 (2018/01/22 19:30〜)