Top - PPL Summer School 2008
講演概要(Fail-Safe C) 概要 プログラムの誤り(バグ)によるセキュリティ脆弱性の発生は、インターネッ トの普及した現在において非常に大きな問題になっています。特に、プログラ ム中のメモリ操作の誤りによるメモリ上のデータの破壊は、プログラムの実行 そのものを乗っ取り、ウィルスのような不正コードの侵入を許す可能性が高く なります。実際、バッファ・オーバーラン脆弱性などこの類のバグによるセキュ リティ問題は、報告される脆弱性の多数を占め、現在においても深刻な問題で あり続けています。 特に、世の中のプログラムの大多数を占めるC言語で書かれたプログラムでは、 元来の言語の設計がメモリ操作に関する安全性を全く考慮していないため、単 純なプログラムの誤りがすぐにメモリ破壊脆弱性につながる傾向があります。 最初にC言語が提案された1970年代当時はまだインターネットが実用的に用いら れる
資料公開「なぜ、御社のWebサイトが攻撃されるのか。そして、守るためには何をすればよいのか。」 - うさぎ文学日記
第01回まっちゃ445勉強会で話した「なぜ、御社のWebサイトが攻撃されるのか。そして、守るためには何をすればよいのか。」の資料を公開しました。 「安全な車」ならみんな何となくわかるけど、「安全なWeb」ってみんなよくわからないよね。 という話から始めて、最近のWebをターゲットとした自動ツールによる無差別攻撃の現状や、被害に遭うWebサイトのほとんどはバグを抱えているからだということ、そして守るためには要件と設計が必要な理由などを説明しています。 ダウンロードはこちら(PDFファイル:868 KB) 第02回には竹迫さん、徳丸さんが登場!引き続き第2回、第3回も楽しみにしています。
次の JavaScript の仕様はこうなる! ECMAScript 3.0 から 3.1 への変更点まとめ - IT戦記
はじめに JavaScript の標準仕様である ECMAScript 3rd Edition (ECMAScript 3.0) が 9 年ぶりにバージョンアップしようとしています。 実は、これまでも様々なバージョンアップの案が上がっては消え、また上がっては消えていました。 しかし、今回のバージョンアップには今までと違う点が一つだけあります。 それは、現時点での主要な ECMAScript インタプリタ(JavaScript の実行エンジン)を作っている全団体(以下を参照)がこの仕様に同意したことです。 Mozilla (Firefox) Apple (Safari) Microsoft (Internet Explorer) Opera (Opera) Adobe (Flash) Yahoo (Yahoo Widget) Google この同意は JavaScript のこれからを大きく
Big Sky :: Google Maps APIにIPから現在位置を取得するAPIが追加された。
APIs for Finding Location Google launched two APIs for finding the location of a user from a web application. The most simple way, which is also the least precise, is to derive some information about location from the IP. Google AJAX API has an object named google.loader.ClientLocation that includes "metro-level granularity properties": country, region, city, low resolution latitude and longitude.
livedoor ニュース - タイの人気ブロガー殺害、容疑者が『人力検索はてな』で証拠隠滅か
タイの人気ブロガー殺害、容疑者が『人力検索はてな』で証拠隠滅か 2008年08月24日20時36分 / 提供:INTER News 写真拡大 犯人が『人力検索はてな』で証拠隠滅か 人気ブロガーであり株式投資家の棚橋貴秀さん(33歳)がタイで殺害された事件で、タイ警察は浦上剛志容疑者(30歳)と森宏年容疑者(30歳)に対し殺人容疑で逮捕状をとった(詳細はこちら)。この犯行に関して、浦上容疑者が『人力検索はてな』を使用し、殺人や証拠隠滅に関する情報を収集していた疑いが出てきた。 現在のところ、両容疑者とタイ人を含む3人は棚橋さんを拉致し、銀行口座から現金を引き出したのち、殺害して遺棄した疑いがかけられている。この事件について容疑者となっている2人はすでに日本に帰国し、警察に出頭。浦上容疑者は「棚橋さんのことは知っているが事件のことは知らない」と話しており、一方の森容疑者は「浦上容疑者に頼まれて
Rejectセキュリティ&プログラミングキャンプ - yaotti's diary
id:syou6162が幹事で開催されたRejectセキュリティ&プログラミングキャンプに行ってきた。本家とは違って、2泊3日の開発合宿ぽい感じ。 参加者の皆さんお疲れさまでした。 参加人数は8人+1人(園田さん(id:sonodam)、Rejectじゃないほうのキャンプの講師)で、個々人で開発するのももったいないということでグループに分かれて行動。 「事前に参加者がMLでやりとりして、皆の開発方針を決めておく」、というのはよかったと思う。行ってから擦り合わせると時間喰うしね。id:syou6162++ 今回は集合知プログラミングの本をもとに開発するグループと、twitterAPIを使ってウェブサービスを構築するグループと4×2で開発した。 基本的に皆もくもくだったり始まってから方向転換したり(これは個人的な問題)と、反省点はあったけれど最終日の夜は皆交流できたので満足です。 僕は集合知の
「私と技術書」無事終わりました - kt’s diary
伊藤さん、ご来場の皆様、関係者の皆様に感謝。 Good 満員御礼だった 同日開催の IT 系イベントがいくつかあったので少し心配していた。 悲願の IT 関連イベントができた 実は大阪本店でははじめてのこと。 IT 関連イベントだけどフォーカスは本に 本そのものを手に語ってもらうのはやっぱりよかった。 個人的に「情報関連技術が本を駆逐することはない」と思っているのだけど、それを再確認できた気がした。 Bad プロジェクター もっと調整をしてピシッと表示させるべきだった。キーストーン調整が甘かった。 司会 ぐだぐだすぎた。原稿ちゃんとつくるべきだった。緊張した。失言。 ルーチンワークとルーチントークしかしてない日々をふりかえって鬱に... 写真動画撮影 OK なのに言い忘れた。 技術評論社編集の方、はてな広報の方が写真撮影されることを言い忘れた。 写真はデリケート*1なのでもっと注意しないと
はてなブログ | 無料ブログを作成しよう
初めて梅干しを作ってみた話 今年の夏、初めて梅干しを作りました。 私梅干し大好きなんですが、自分で作るという発想がなくて…同僚が梅シロップを作っているのに影響されて去年から梅仕事を始めてみたんですが、そのときの説明書に「梅干しの作り方」というのも入っていて、えーー梅干しって自分…
まっちゃ445勉強会#01に行ってきました - Garbage Script on Goo BLOG
昨日は無事、日付が変わる前に自宅に戻ってこられました(笑)。 と言う事で、まっちゃさんを始めとするスタッフの皆様、講師の皆様、そして参加者全員お疲れ様でした。 今回は定員約60名(※1)に対して約90名の希望者……皆勉強会に飢えているのね(ヲ 細かい話の内容は後日改めて書くとして、所感などを。 ----- (会場の様子) 「満員御礼」 いや、マヂでこの一言に尽きます。何せ椅子が足りない。 そうか、これは席が欲しい人は朝から頑張ってこいという孔明のわn(ry でも朝のめざまし勉強会は午後の勉強会とはまた違った魅力があるので、余力がある方は是非参加してみては如何でしょうか? ----- (めざまし勉強会) まっちゃ139勉強会からずーっと思っていた事なんですが、スピーカーデビューするにはうってつけの舞台(ライトニングトークだし)だと思います。 (参考:5分で絶対に分かるテクニカルトーク - @
2008-08-25
いつもながらやる気がマイナスorz 参加した人お疲れ様でした。 会場に人が多くていすが足りなかったとか、ぜんぜん参加者の方と話せなかったとか心残りがありますが、非常に面白かったです。 まあ、内輪の人が固まっていたので、そこを今後何とかしないといけないなぁと思います。次回は後ろのほうの席を確保することにしようっと。 内容については、メモったものを後ほどまとめて公開する予定。 みんな書いているので、いまさらまっちゃネタ書いてますが、べ、別にまっちゃだいふくの日記★とれんどふりーく★に載りたいわけじゃ、な、ないんだからね!!(CV: 釘宮理恵) 本日の参考資料:セキュリティ&プログラミングキャンプ2008 - xcorp::When it rains, it pours. まっちゃの目覚ましで出たネタ(http://d.hatena.ne.jp/hnw/20080823)の参考に http://
a threadless kite - 糸の切れた凧
ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。
第01回まっちゃ445勉強会に参加してきました - hnwの日記
題名の通りですが、「まっちゃ445勉強会」に参加してきました。場所は京急蒲田そばのPiOです。 これは、「まっちゃ139勉強会」というセキュリティの勉強会が大阪で定期開催されているんですが、それが東京に進出してきたものです。最初に参加者の自己紹介タイムがあったんですが、聞いていると「いままで始発で大阪に行ってたのが東京で開催してくれると助かる」みたいな人が何人もいて、熱心な人がたくさんいるなあ、と思いました。 勉強会本体は13:00からだったんですが、朝10:30からLTの枠があって、「XSS脆弱性に対しXHRを用いた攻撃」という題名で僕も15分ほど喋りました。内容としては「XSSに対してXHRを使えば夢が広がりんぐ」ということで、あんまり他の人が主張してるのを見た事が無いので新ネタかもしれないけど、とりあえずセキュリティ界隈の人に斬ってもらおうと思って喋ってみました。 資料: http:
はてなブログ | 無料ブログを作成しよう
初めて梅干しを作ってみた話 今年の夏、初めて梅干しを作りました。 私梅干し大好きなんですが、自分で作るという発想がなくて…同僚が梅シロップを作っているのに影響されて去年から梅仕事を始めてみたんですが、そのときの説明書に「梅干しの作り方」というのも入っていて、えーー梅干しって自分…
第01回まっちゃ445勉強会: ライトニングトーク | 水無月ばけらのえび日記
ついカッとなって第01回まっちゃ445勉強会 (sites.google.com)に参加してみました。 まずは午前中のライトニングトークについて、ぱらぱらとメモ。ただし、ディスカッションの内容は非公開ということになっていますので、質疑応答の内容は記載していません。 あまり知られていないXSS攻撃のバリエーション ~XSS脆弱性に対しXHRを用いた攻撃hnwさん (d.hatena.ne.jp)によるお話。 XSSの脅威として、よく「ターゲットのドメイン上で任意のスクリプトが実行できる」ということが言われます。その「任意のスクリプト」の一例として、ターゲットのサイト上で XMLHttpRequest を実行するというパターンのご紹介。 JavaScriptでダミーのページ遷移を実装し、XMLHttpRequest でターゲットの本物サイトから本物のページを読み込んで、アンカーとログインフォー
対策としての入力値チェックは…… | 水無月ばけらのえび日記
まっちゃ445の懇親会で、大垣さんと徳丸さんとのやりとりが話題になっていました。 ホワイトリストはどう作る? (blog.ohgaki.net)ホワイトリスト方式の優位は神話 (www.tokumaru.org)プログラミングではホワイトリスティングが基本 (blog.ohgaki.net)プログラミングではホワイトリスティングが基本ではない (www.tokumaru.org)今こそXSS対策についてまとめよう (www.tokumaru.org)……なんというか、何について議論されているのかがよく分からない感じがしますね。 徳丸さんは以下のように述べられていますが、 これは「ホワイトリストかブラックリストか」という以前の話で、そもそも入力値チェックをXSSの「対策」とすること自体が不適切なのだ、と言われているのだと思います。これはその通りだと思います。 たとえば、このサイトには掲示板が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Life Like Light
まっちゃ445 - どんごどんご
はてなブログ | 無料ブログを作成しよう
http://d.hatena.ne.jp/key_xxx/20080823
Life Like Light
まっちゃ445に参加してみた
はじめてのべんきょうかい(略して「はじるす」) - Stressful Angel
第01回まっちゃ445勉強会 - コンピュータ系blog