高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
【特集】Software Design 2010年5月号リニューアル【新連載】開始 | TAKESAKO @ Yet another Cybozu Labs
本日発売のSoftware Design創刊20周年、新人エンジニア熱烈歓迎リニューアル号(2010年5月号)にて、特集記事の一部とHTML5/JavaScriptの新連載の記事を書かせていただきました。 第1特集 Twitter/iPhone/クラウド時代を生き抜くための システム基盤の[新]常識 スマートフォン,分散化,検索技術,仮想化,大規模化 * 1章:今,ソフトウェア技術の世界で起きていること 高速化競争はCPUからJavaScriptエンジンへ……竹迫 良範 * 2章:これからのエンジニアに求められるスキル ポリモフィズム,LL,並列プログラミング…鍵はスピード……竹迫 良範 * 3章:スマートフォン開発という「新世界」 iPhone/Androidアプリの企画・開発・マネタイズ最前線……深津 貴之(取材:編集部) * 4章:分散化と検索技術の進化 SSDによる検索高速化,リア
Railsで作ったひとりサービスをリリースするまでやっておくこと20個 - 僕は発展途上技術者
以前書いた » つくるぶガイドブログ: ひとりサービスをリリースするまでやっておくこと10個 や つくるぶガイドブログ: ひとりサービスをリリースするまでやっておくこと10個 : 僕は発展途上技術者 を読んでいて、更新したくなった。 以下は更新部分しか重点的に書かないので、詳細知りたければ上記エントリーとあわせて読んでほしい。 アプリケーションエラーをメールで通知する。以前は Exception Notifier プラグインを使っていたが、今は Hoptoad が断然おススメ。 エラーページをカスタマイズする Javascript を無効にしているユーザー向け対策をおこなう フッターのコピーライト表示を常に最新にしておく slow query ログを送るようにしておく DBのバックアップを定期的におこなう仕組みを作っておく サイトのアクセス解析をおこなう。PCならGoogle Analyt
Software Design 2010年5月号
2010年4月17日紙版発売 B5判/216ページ 定価1,341円(本体1,219円+税10%) ただいま弊社在庫はございません。 Amazon 楽天ブックス ヨドバシ.com Fujisan(定期購読のみ) 本書のサポートページサンプルファイルのダウンロードや正誤表など 第1特集 Twitter/iPhone/クラウド時代を生き抜くための システム基盤の[新]常識 スマートフォン,分散化,検索技術,仮想化,大規模化 Twitter,iPhone,電子書籍などをはじめ,コンピュータ,ITによって世の中や社会のしくみが大きく変わる中,その付加価値の鍵はソフトウェアプログラムが握っているといっても過言ではありません。本特集では,こうした流れの中で,新人エンジニアの方々がどんな知識・考え方を身に付けておく必要があるのか,マルチコア,分散化,検索技術,仮想化,大規模システム運用,スマートフォンな
企業のリンクポリシーが無茶な要求をする理由 | 水無月ばけらのえび日記
公開: 2010年4月7日20時5分頃 「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。 またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。 リンクを張る場合は連絡してください。リンクはトップページへお願いします。個別記事へのリンクはお断りします。個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。 しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。 リンク元のサイトとの関係性を誤解されたくない
2010年代には Apache の mpm_prefork とか流行らない (もしくは HTTP keep-alive のメリットとデメリット) - kazuhoのメモ置き場
HTTP の持続的接続の功罪について はじめに、HTTP の持続的接続 (keep-alive) のメリットについて。持続的接続を使うメリットは、以下の2点。 TCP 接続の確立にかかる時間の節約*1 TCP の接続と切断に必要な資源 (CPUとネットワーク) の節約 ウェブブラウザ〜データセンタ間の通信で、持続的接続を使う理由は、このうちの前者。特に太平洋を超えるようなケースだと、TCP 接続に0.2秒とかかかるので、メリットが大きい。 一方、持続的接続のデメリットは、 接続が切断されるまでの間、その接続を維持するためにコストがかかる (主としてメモリが無駄になる) という点になる。特に、1プロセス1コネクションを前提とするアーキテクチャ (例: mod_perl) だと、メモリの無駄使いが、とてもひどいことになる。 そこで、ブラウザからの接続を受ける HTTP サーバとアプリケーション
Clearsilver
What is Clearsilver? Clearsilver is a fast, powerful, and language-neutral HTML template system. In both static content sites and dynamic HTML applications, it provides a separation between presentation code and application logic which makes working with your project easier. The design of Clearsilver began in 1999, and evolved during its use at onelist.com, egroups.com, and Yahoo! Groups. Today ma
コンピューターサイエンスを学びたくなった読むコピペ。 - このブログは証明できない。
インドの田舎町。海岸に小さな自宅兼オフィスがあった。 インド人のプログラマーが小さなプログラムを書いていた。 そのプログラムはなんとも美しい。それを見たアメリカ人旅行者は、 「すばらしいプログラムだね。どれくらいの時間、プログラムを書いていたの」 と尋ねた。 するとプログラマーは 「そんなに長い時間じゃないよ」 と答えた。旅行者が 「もっとコンピュータサイエンスを学んでいたら、もっとすばらしいプログラムが書けたんだろうね。おしいなあ」 と言うと、 プログラマーは、自分と自分の家族が食べるにはこれで十分だと言った。 「それじゃあ、あまった時間でいったい何をするの」 と旅行者が聞くと、プログラマーは、 「日が高くなるまでゆっくり寝て、それからプログラムを書く。終わったらフィード消化して、 合間にTwitterして。 夜になったら友達とWebサービス作って、オンラインゲームして、 SNSで仲間と
yohei-y:weblog: 『Webを支える技術 ── HTTP、URI、HTML、そしてREST』という本を書きました
このブログ、1年近くご無沙汰していました。その間なにをやっていたかというと、実はずっと本を書いていました。『Webを支える技術 ── HTTP、URI、HTML、そしてREST』というなんとも挑戦的な題名の本です。技術評論社さんのWEB+DB PRESS Plusシリーズの11冊目で、来月発売される予定です。 Webを支える技術 ── HTTP、URI、HTML、そしてREST山本 陽平技術評論社 2010-04-08 この本は、WEB+DB PRESSで連載していた「RESTレシピ」という連載がベースになっています。実は連載が1年経ったくらいから、技評さんからは書籍化のオファーをもらっていました。ただ、その時点では書いた分量も少ないし、そもそも自分に雑誌記事とは比べ物にならないくらい分量のある本が書けるとは思っていなかったので、書籍ではなく連載継続という形でトータル2年間連載をしました。
いつか匿名は社会に殺される
ツイート いつか匿名は社会に殺される 刺激的なタイトルで書いてみたくなりました 毎年毎年飽きもせず論争が起こる実名VS匿名論争ですが まぁ所謂ネット上での活動を実名ですべきか匿名ですべきか 皆さんご存知の恒例のネタなわけです この論争の火蓋を切るのは匿名にアホな煽りくれられた実名有名人だったりして 声が大きくアテンションを集めているブロガー達が入り乱れて論争が巻き起こるわけですね 最終的には実名でも匿名でもいいじゃん的なオチで落ち着いたり、いつの間にか議論が明後日の方向に飛んでいたり、まぁ最終的には結論も無くいつの間にか終了するのが通例だと認識しています まぁそれはそれとしてネット風物詩的なものとしてウォチャー的にはそれなりに楽しいわけですが 先日Tumblrをみていて思ったのは 「いつか匿名という存在でネット活動する人間は認められない社会がくる」のではないか つまり 「いつか匿名は社会に
携帯電話からのアクセスを真似する·Moxy MOONGIFT
MoxyはPerl製のオープンソース・ソフトウェア。日本において携帯電話サイトの需要は大きい。スマートフォンの活況もあって、PC向けと同時に携帯電話向けをリリースすることも多くなっている。また将来的にはPCよりもモバイルのシェアが大きくなると言われている。 携帯電話からのアクセスを模倣できる そんな携帯電話向けサイトの開発を行う場合、PCからアクセスを偽装してテストを行う必要がある。専用のソフトウェアの他、FirefoxのMobileSimulatorも使えるが、ここではWebブラウザベースのMoxyを紹介しよう。 MoxyはPerl製のソフトウェアで、専用のWebサーバとしてサービスが立ち上がる。ブラウザからアクセスすると、URLを指定して外部のWebサービスにアクセスできる。その際にはUserID、ユーザエージェント、HTTPヘッダーを任意に入れ替えてアクセスも可能だ。 Googleへ
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
出会い系運営してるけど質問ある?
1 名前:以下、名無しにかわりましてVIPがお送りします:2010/02/15(月) 01:19:53.40 ID:MzzkoODV0 ひっかける人居れば ひっかかる人有り 4 名前:以下、名無しにかわりましてVIPがお送りします:2010/02/15(月) 01:23:01.27 ID:M8Mj5Sdn0 >>1さんとえっちするにはどうしたらいいですか?>< >>4 とりあえずアド晒してくれれば即刻メールが行く 100通/day位 6 名前:以下、名無しにかわりましてVIPがお送りします:2010/02/15(月) 01:27:01.04 ID:VYGafOlRO サクラで雇ってください >>6 とりあえずタイプ数はかろうか 俺のとこではそれが重要 7 名前:以下、名無しにかわりましてVIPがお送りします:2010/02/15(月) 01:27:22.86 ID:wJHFhWqVO さく
uratan.jp - このウェブサイトは販売用です! - uratan リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
アクセシビリティって何?
あんどさん @andhyphen @amachang 障害があるような方がどの程度使いやすいかってことじゃなかったでしょうか。利用しやすさといえばいいかな。 2010-02-10 18:15:42 そぷ🐾 @sophide0822 それであってると思いますよ。あとはその人の置かれている状況とか環境も含まれる? RT @amachang: 【質問】 アクセシビリティって言葉がわかりません><色んなデバイスで見られるって意味ですか? 2010-02-10 18:16:00 Maki_Daisuke @Maki_Daisuke どんだけ色んな人が見られるって意味じゃないですか?お年寄りでも,とか.色覚に不自由がある人でも,とか.ガラケー持ってる人でも,とか(ぉぉ...etc RT @amachang: 【質問】 アクセシビリティって言葉がわかりません><色んなデバイスで見られるって意味ですか?
Cookie 今昔物語 - はてなるせだいあり
概要 Cookie の不幸な歴史と現状、そして将来についてまとめた。 仕様はどこにあるか Web 上の様々な規格は、誰かが定め、それに皆が合わせるという形で動いている。しかし、Cookie の仕様は誰が決め、どこで規定されているか知っている人は、意外と少ないのではないかと思う。W3C や IETF だと思っている人が多いのではなかろうか。 正解を言ってしまうと、定めたのは 1994 年、Netscape Communications 社であり、文書は http://wp.netscape.com/newsref/std/cookie_spec.html で公開されていた。アクセスしてみればわかる通り、このページはもう存在しないし、Netscape 社自体が AOL に買収されており、今は Mozilla になったというか、消えてなくなっていることを知っている人は多いだろう。当時の文書は例に
Plack perl superglue for web frameworks and servers
Plack provides a common interface called PSGI (Perl Server Gateway Interface) that allows Perl web applications to run on different web servers. It includes tools like Plackup for running PSGI applications from the command line and middleware for adding functionality. Plack has adapters that allow many existing Perl web frameworks to run under PSGI. It also provides high performance PSGI servers a
サイバーエージェント「アメーバブログ」の「ノートン警察」がトロイの木馬に感染? - やまもといちろうBLOG(ブログ)
芸能人のブログに入り放題という前代未聞の新サービスを世に問い、問題作として話題を攫ったサイバーエージェントが、今度はノートンとのコラボサービスのブログパーツでトロイの木馬を搭載するという面白い試みをしているというので見物に逝ってきました。 ブログパーツ「ノートン警察」を使われていた方へ http://ameblo.jp/caetla-2008/entry-10427328482.html http://megalodon.jp/2010-0107-1225-07/ameblo.jp/caetla-2008/entry-10427328482.html 【ノートン警察】お粗末、Javascruptが・・・・ http://ameblo.jp/dendoshi/entry-10428673022.html http://megalodon.jp/2010-0107-1235-05/ameblo
tokuhirom blog
Blog Search when-present<#else>when-missing. (These only cover the last step of the expression; to cover the whole expression, use parenthesis: (myOptionalVar.foo)!myDefault, (myOptionalVar.foo)?? ---- ---- FTL stack trace ("~" means nesting-related): - Failed at: ${entry.path} [in template "__entry.ftlh" at line 3, column 25] - Reached through: #include "__entry.ftlh" [in template "entry.ftlh" at
ウェブ業界の15年、これからの10年 (Re ウェブアプリケーションサーバを複数台構成とか2010年代には流行らない) - kazuhoのメモ置き場
先のエントリ (ウェブアプリケーションサーバを複数台構成とか2010年代には流行らない) ではボトムアップに煽った書き方をしたけど、自分がトップダウンでどういうふうに捉えているかについて。以下、あくまでも私見です。 いわゆるネット業界は1990年代後半に始まってから15年くらいたったわけだけど、当初はマスメディア(静的コンテンツの配信)が業界の中心だったのが、パーソナライゼーションを経て、コミュニケーションツールへと変化してきた*1。 それにあわせて技術的な面でも分化が進み、今ではデータベースとアプリケーションサーバと httpd っていう三層構成が一般的になっている*2。 そもそも Apache って、モジュールをC言語で a-patchy に書いて動的コンテンツを作れるのが売りだったわけだけど、今じゃコモディティ化を通り越してレガシーソフトウェアの代表格。でもみんなあんまり困ってないの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
