引越し遍歴パートⅡ 2018年に「上京して10年で引越しを6回した」というブログを書いた。 月日は流れ、あれから6年…さらに2回の引越しをした。ホテル暮らしも含めると3回かもしれない。 前回の記事では主に神奈川〜千葉〜東京の引越し事情を書いた。関東の浅瀬でちゃぷちゃぷ遊んでいたに過…
豪華な登壇者を迎えたことと、デブサミ2009のA会場の最後のセッションということもあって、ものすごく盛り上がっていました。 Webセキュリティ攻守攻防パネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」 登壇者 モデレータ 竹迫良範 氏 パネラー はせがわようすけ 氏 はまちちゃん 氏 大垣靖男 氏 徳丸浩 氏 id:Hamachiya2さん(はまちちゃん) インフルエンザにかかって3日目。 従って、このセッションを聴講する方はリスクを伴う、とのことw (脆弱性w) Namazuプロジェクトの昔話 2001/11/25。 NamazuプロジェクトのMLに、高木先生から脆弱性の報告が来た。 しかも、MLはオープンになっている公開MLだった。 2日後に緊急リリース、そして非公開のMLを作成した。 XSSについて 信頼できないWebサイトでのXSS対策は無意味 イント
代休使って行ってきました.マイレージ消費せずに行けるのはありがたい・・・・ これからのWebテクノロジーを予測する 自己紹介 仮面の人 Asiajin の人 ならべて.com プレゼン資料は akimoto.jp で公開予定 本日の発表内容 予想する? 「僕の」予想です どれぐらい先?今年から数年 予測の反省 2004年頃には RSS がすごい来ると思ってた が,予測は外れた,とも当たったとも言えない. 部分部分では使われている場合もあるが,世間一般の認知は得られていない 海外のRSSニュースを提供していたりした アメリカ在住時の話 会社のブログを書くことにしたので止めた Web 2.0 だいぶ飽きられた感じ バズワード いろんな思惑で使われてた なんとなく新しい特徴を備えていると,Web 2.0 的だという感じ クラウドコンピューティング 今年熱いキーワード バズワードだけど定義も難しい
2/7京都でセキュリティ&プログラミングキャンプ・キャラバン2008が開催されていたので、「はせがわようすけ」目当てでちょっと参加してきました。 ネタのスライドがパワーアップしてた。 文字コードネタは興味深い 適切なvalidationができていれば回避できるものが多い。どうしようもないものもあるけど。 頭から参加する予定だったけどやっぱり遅刻した。 終わってから久々に北山をブーラブラ。やっぱり北山は落ち着く。
デブサミ2日目も行ってきた。1日目に続き、いくつかのセッションについて、感想を書いてみる。(このブログ全体に言えることだけれど、私の個人メモなので誤りがあるかもしれない。念のため。) ●「アート・オブ・アジャイル デベロップメント 〜テストが駆動するビジネス価値〜」テストを「DeveloperTesting」「Customer Testing」「QA Testing」に分けていた。「DeveloperTesting」の話が一番多かったように思う。(品質保証ではなく)設計やコミュニケーションのためのテストの話が多めだと感じた。 #テスト好きとしては、品質保証のテストか設計のテストかは、メモっておきたい。 #1月末のJaSSTでは品質保証の話を沢山聞けたので、丁度よかったかな。 新しく聞いた言葉としては「エンドツーエンドテスト」。これは、ユニットテストとインテグレーションテストがかみ合っている
感想を直に管理者ページで書いていたら 何かの折に前ページが表示されてしまい 全部消えてしまったorz 残った力で列挙↓ 角谷さんとこでお勧めセッションの紹介があった。 http://kakutani.com/20090114.html#p01 http://kakutani.com/20090128.html#p01 http://kakutani.com/20090201.html#p01 じっくり選ぶのに便利なサイトを教えてもらった。 http://devsumi2009.iq148.com/ 内容決まる前に申し込んだ【13-A-6】、やっと決まったら「ひよこクラブ ver.Engineer」 というタイトルでくずおれたが、 演者はヨシオリさんだった。以前Blogで吼えておられたのを思い出す。期待。 当日。12日。 名刺を忘れた。名札書いた。 昼は天気が良かったので川沿いでおむすび。橋
[雑談] いろいろ。セキュリティに関心のある女性たちの“拠り所”として10年──「CTF for GIRLS」が新体制に |EnterpriseZine(エンタープライズジン) 2014年の設立から10周年を迎えた「CTF for GIRLS」。女性が少ないと言われる情報セキュリティの領域で、100人以上を集めるCTFワークショップを開催するなど、日本のセキュリティ人材育成において欠かせない存在といっても過言ではない。今回は、CTF for GIRLS発起人で現代表の中島明日香氏(Elasticsearch)、現副代表で次期代表の中島春香氏(NEC)、次期副代表の水野沙理衣氏(GMOサイバーセキュリティ byイエラエ)に、コミュニティを継続的に成長させるための秘訣や、初級者へのアプローチ、さらに次の10年の抱負を聞いた。
セッションの詳細についてはこちらを参考にしてください パネラーにはあのまちちゃんが、ということで大盛況でした。 モデレーターの竹迫さんがお題となる10のテーマを提示して、それについてパネラーの人が答える、という形式です。 はまちちゃんインフル三日目(汗) 自己紹介 NAMAZUの脆弱性対応 高木先生からの指摘 指摘がオープンになっていて、あわてて非公開に。 XSSについて 信頼できないサイトでは対策は無意味(はせがわさん) 一番信用できるのははまちやドットコム(笑) mixiの騒動の時に情報を抜かなかったら。む 例えばIEを使わない(大垣さん) イントラネットでも危険 JSONの脆弱性について そのままでは読めない(出来たらこの辺、JSONPについても欲しかったです) セッターとプロトタイプチェーンの組み合わせで、一部のモダンブラウザでは読み出せる JavaScriptでは、JSONによっ
XSSで何ができるか? cookie情報、formの送信内容を盗む、偽の情報を見せる 「信頼出来ないWebサイト」でのXSSはそもそも無意味 信頼してほしいならXSSくらい直せ イントラだったら関係ない? むしろイントラ内の方が盗みたい情報がいっぱいある JSONによる秘密情報の漏洩 JSON Hijacking Object.prototype.__defineSetter_で特定プロパティが設定されたら何らかの処理を行うようにする。 JSONをHTMLとして読み込むと上記のコードが入る。 対策 先頭にwhile(1);をつけて、JavaScriptとして実行出来ないようにする(Googleがやった) POSTのみ許可 XHRで特定のリクエストヘッダをつけるようにする レスポンスヘッダにcharsetを指定する charsetにUTF-7を指定すると、きちんとエスケープされているJSON
ytesakiのblog。テーマは未定。 主に、本の感想、趣味、日常での出来事、思ったこと等を書く場所になると思う。仕事(アクセス解析)については書かないつもりだったが、本も出したし書くかもしれない。 デブサミ2日目である。 ちょっと疲れたので、いちエントリにまとめてしまうつもり。 多分、その分長くなると思うが勘弁。 [DS(Web)] 【13-A-1】 これからのWebテクノロジーを予測する 10:00~10:50 秋元裕樹 氏 サイボウズラボの秋元氏。ウェブ上で顔出ししていないらしく、仮面をかぶっての怪しい出で立ちで登場。w 今は週3日契約で半分サラリーマン、半分起業家みたいなことをしているらしい。 http://akimoto.jp/presentation/ (本家のリンクのドットが抜けていたので、直リンしておく) RSSって、意外とこなかったよね。みたいな話から、Web2.0、O
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く