たまには駄文。 SEって、ひとり言が多くてコワくない?/Tech総研を読んだ。確かに俺も独り言は多いが、この理由は一言では説明できない。 そもそも、独り言を言える立場にあって、独り言を言わない職人さんがどれだけいることだろうか?ぶつぶつ推敲する文筆家や画家もいるし、ワイナリーの人もカメラそっちのけでワインに向って喋ってるし、壁塗り職人も保護シートをペラっとはがして「お前はもうちょっと養生だな」とか言うじゃないですか。壁に向ってですよ、壁に。 壁に語りかける人がいるんだ。PCに語りかけたっていいじゃないか。 独り言が言えなさそう状況で独り言を言う人もいるらしい。指揮者やピアニスト。ピアノは小声で歌いながら弾いている人が結構多い。ピアノの上手さと歌の上手さに全く相関がないところが興味深い。 指差し確認 元記事で触れられていたが、指差し確認ってのはかなりあると思う。rm -rf *
IEが変な挙動の場合のサーバー側対処策 IEが変な挙動の場合でXSS等が発生する場合に、サーバー側対処策としてHTTPのレスポンスヘッダにおいて適切に表現してさしあげることになりますね。 一例としてUTF-7エンコードされたタグ文字列によるXSS脆弱性を考えると、ページの文字エンコーディングを強制する指定をする、つまり、Content-Type: text/html; charset=エンコーディング名 といった指定をHTTPのレスポンスヘッダないし、HTMLの「<meta http-equiv="Content-Type" content="...」に記述することを考えるわけです。 これ、セキュ的には両方ともしなくちゃならないってことを、今回のかなとこさんの著書で初めて知ったのです。レスポンスヘッダだけで十分かと思っていました(汗) 金床さんありがとう。 私はmeta要素を省く傾向があり
「JVN#16018033 Safari における URL の表示偽装の脆弱性 (jvn.jp)」。IPA 側の「JVN#16018033「Safari」における URL の表示偽装の脆弱性 (www.ipa.go.jp)」を見ると、IDN(国際化ドメイン名) の話のようですね。で、届出者の吉野さんに話を聞いてみたりしたのですが、なかなか興味深い話が。 IDN がまずいのは、似たような文字の紛らわしいドメインが使われてしまうということです。しかし、あからさまに紛らわしいドメインを取得しようとするとレジストラに怪しまれますから、それは難しいのではないか……。そんな風に考えていた時期が私にもありましたが、よく考えると、IDN はサブドメインにも使えるのですね。サブドメインに紛らわしい文字を使ってもどうということはない、と思うかもしれませんが、「/」をごまかされると非常に厳しいです。 ※試しに未
mixiのURLにOpenIDっぽいパラメータがくっついてる件 http://blog.fkoji.com/2007/08051128.html OpenID大好きなので、少し調べてみました 結論から言うと、news.mixi.jp とか video.mixi.jp とかの、mixi.jp と別ドメインにセッションを引き渡すために使ってるぽい このあたりの話のあと、cookieのdomain指定をやめたのかもしれない http://kaede.to/~canada/doc/mixi-and-cookie リクエストのやりとりはこんな感じ ログインしてcookieもらう(domain指定なしなので mixi.jp にしか渡されない) POST /login.pl HTTP/1.1 Host: mixi.jp HTTP/1.x 200 OK Set-Cookie: BF_SESSION=***
今夜わかるセキュアプログラミング 1 上野 宣 (a.k.a. TIP) http://www.usagidesign.jp/ プロフィール 上野 宣 (うえの・せん) 著書:「今夜わかるTCP/IP」、「…HTTP」、「…メール プロトコル」、他多数 連載:@IT、HackerJapan、他多数 株式会社トライコーダ 代表取締役 セキュリティコンサル ネットワ ネットワーク・サーバー・Webアプリ脆弱性診断 http://www.tricorder.jp/ http://www.usagidesign.jp/ http://d.hatena.ne.jp/sen-u/ (ブログ) 2 プロフィール 詳しくはWebで! 検索キーワード「また上野宣か。」 3 すべてのWebアプリケーションに脆弱性がある時代 4 セキュアプログラミングには何が必要か? 特定の環境に依存した話
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く