hidehishのブックマーク - はてなブックマーク

「安全なWebアプリケーションの作り方」電子書籍版9月28日（水）販売開始します - ockeghem's blog

このエントリでは「体系的に学ぶ安全なWebアプリケーションの作り方脆弱性が生まれる原理と対策の実践」（いわゆる徳丸本、#wasbook）の電子書籍版が9月28日（水）に販売開始されるというお知らせをします。大変要望の多かった徳丸本の電子書籍版ですが、タイトルのように、9月28日（水）の午前中に販売開始されることになりました。以下に諸データを記します。販売サイトブックパブ（http://bookpub.jp/）販売開始 9/28（水）午前定価 2,800円キャンペーン価格 1,800円キャンペーン期間 9/28（水）〜10/17（月）の20日間いくつか特記すべき事項があります。まず、電子書籍の形式ですが、*DRMフリーのPDF* です。従来版元のソフトバンククリエイティブでは、iOSやAndroidのアプリという形式で電子書籍を販売したようですが、この徳丸本の電子版から

hidehish 2011/09/22

見てる:

リンク

私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか - ockeghem's blog

昨日のソフトバンクの非公式JavaScript対応の調査結果 | 徳丸浩の日記で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末が *非公式に* JavaScriptに対応していました。このエントリでは、検証の様子を報告します。なぜJavaScript対応状況を調査したか http://www.hash-c.co.jp/info/20091124.htmlを公表した前後に、とある方（この方）から、ソフトバンクのケータイでもJavaScriptが動作すると伺いました（参考のやりとり）。XMLHttpRequestも含めてJavaScrptが動くと教えていただいた932SHを私も購入して調べたところ、以下が判明しました。確かにJavaScrip

hidehish 2011/07/07

見てる:

リンク

僕が「ホワイトリスト」を採用しなかった訳 - ockeghem's blog

ホワイトリストという用語はセキュリティの分野では非常に基本的な用語ですが、セキュアプログラミングという文脈では意外に曖昧な使われ方がされているように見受けます。本エントリでは、ホワイトリストという用語の意味を三種類に分類し、この用語の実態に迫ります。拙著体系的に学ぶ安全なWebアプリケーションの作り方（以下、徳丸本）では、ホワイトリストという用語を一度も使っていませんが、その理由に対する説明でもあります。ホワイトリストの分類私の調査によると、ホワイトリストは以下の3種類に分類されます。許可されたものの一覧表（第一種ホワイトリスト）セキュリティ上安全と考えられる書式（第二種ホワイトリスト）アプリケーション仕様として許可された書式（第三種ホワイトリスト）以下順に説明します。許可されたものの一覧表（第一種ホワイトリスト）ホワイトリストというくらいですから、本来のホワイトリストは

hidehish 2011/05/10

見てる:

リンク

evernoteのテキストをevernote社の管理者にも見えないように暗号化する - ockeghem's blog

このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。昨日、EvernoteのXSS問題に関連して、「Evernoteの開発者も徳丸本読んでいたらよかったのにね」などとつぶやいていたら、「EvernoteのCEOが徳丸さんに会いたがっている」という連絡をもらいました。こういうのは異例のことでちょっと悩みましたが、行くっきゃないだろうということで、Evernote社の日本法人でmalaさんと一緒にCEOにお会いしました。 XSSやポリシーについては非常に誠実な対応をお約束いただいたのでよいミーティングだったと思います。僕が指摘した脆弱性についても、当日の夜のうちに直っていたようです。米国時間では深夜から早朝という時間帯で、迅速な対応だったと思いますが、本題はこれからです。その場で、malaさんが「Eve