処理開始後の例外処理では「サニタイズ」が有効な場合もある
このエントリでは、脆弱性対処における例外処理について、奥一穂氏(@kazuho)との会話から私が学んだことを共有いたします。セキュアプログラミングの心得として、異常が起これば直ちにプログラムを終了することが推奨される場合がありますが、必ずしもそうではないというのが結論です。 はじめに Webアプリケーションの脆弱性対策では、脆弱性が発生するのはデータを使うところであるので、データを使う際の適切なエスケープ処理などで対処するのがよいと言われます。しかし、処理内容によってはエスケープができない場合もあり、その場合の対処についてはまだ定説がないと考えます。 エスケープができない場合の例としては、以下があります。 SQLの数値リテラルを構成する際に、入力に数値以外の文字が入っていた メール送信しようとしたが、メールアドレスに改行文字が入っていた 入力されたURLにリダイレクトしようとしたところ、U
はてなにおけるCSSメタ言語(CSSプリプロセッサ)の導入について - Hatena Developer Blog
こんにちは、id:tikedaです。数年前から登場して以来、利用されるケースが増え続けているCSSメタ言語(CSSプリプロセッサ)。近年、様々な大規模サービスへの導入が進む中、はてなのサービス開発においても導入を行うため、2012/3/6に勉強会を実施しました。その内容を公開いたします。CSSメタ言語そのものの説明よりも、社内導入の為に必要な内容が中心となります。 アジェンダ どんなものがあるか 導入の背景と目的 はてなでの選択 何がやれるか どう使うか 事例・実演 運用ルール 今後の展望 どんなものがあるか Sass(scss,sass) http://sass-lang.com/ Less http://lesscss.org/ Stylus http://learnboost.github.com/stylus/ Tass http://cho45.github.com/tasscs
ERSSデータの表示システム停止について(復旧済)
ERSSデータの表示システム停止について(復旧済) 2012年3月13日 3月12日、原子力安全基盤機構から、ERSSデータの表示が一時的に停止していた旨の連絡を受けましたので、以下のとおりお知らせいたします。 1.停止期間及び停止データ 12日17時27分~18時30分、18時54分~19時08分 各プラントからデータは伝送されてきていたが、ERSSプラント情報表示システム(ICS)が表示されない障害が発生。 2.停止の原因 原子力安全基盤機構では、本日データセンターにおいて、新たに監視用管理サーバを導入するための確認作業を実施。 監視用管理サーバをネットワークに接続し、監視先のサーバの確認を行おうとしたところ、ネットワークに接続されたサーバに振り当てる認識番号について、接続を行った監視用管理サーバとプラント情報表示システムの一部が同じになってしまい、ネットワーク上のプラント情報
報道発表資料 : 「携帯電話サービスにおける事故防止、通信の秘密の保護及び個人情報の適正な管理の徹底」に係る報告書の提出について | お知らせ | NTTドコモ
お客様の設定により、お客様情報が「非表示」となっております。お客様情報を表示するにはdアカウントでログインしてください。 お客様情報表示についてへ お客様情報表示についてへ 株式会社エヌ・ティ・ティ・ドコモ(以下、ドコモ)は、一連の通信障害に対する総務省からの「携帯電話サービスにおける事故防止、通信の秘密の保護及び個人情報の適正な管理の徹底」に係る行政指導(平成24年1月26日)、及び携帯電話通信障害対策連絡会のなかでご指示頂いた「設備及び体制の総点検」(平成24年2月22日)について、本日、総務省に報告書を提出いたしました。 ドコモでは、発生した通信障害への対策16項目(稼動3,940人日)を完了させるとともに、再発防止に向けた更なる対策17項目(稼動65,640人日)を実施しております。 また、当社の通信ネットワーク設備等に対して、全145項目、256,966件におよぶ総点検(総稼動9
総務省|スマートフォンを経由した利用者情報の取扱いに関するWG|スマートフォンを経由した利用者情報の取扱いに関するWG(第1回)
(1) スマートフォンをめぐる現状と課題 (2) 関係者からのプレゼンテーション 野村総合研究所上席コンサルタント 北 俊一 氏 KDDI研究所研究主査 竹森 敬祐 氏 (3) その他
譲渡権とインターネット
著作権を考えていて、ふとデジタルデータと譲渡権は実情に合っていないのではないかと思った。譲渡権とは、著作権法、第二十六条の二に規定されている。著作者は、譲渡権を専有する。つまり、他人の著作物を勝手に譲渡してはいけない。 しかし、もし、私が紙の本を1000円で買えば、その本は古本屋に売ることができるし、他人に渡すこともできる。これは著作者もしくはその承諾を得たものから譲渡された複製物には、第二十六条の二が適用されないためである。 この例では、私は1000円を支払うことによって、著作物の複製物である紙の本を、正規の方法で入手したわけである。そのため、私の所有している本には、譲渡権は及ばない。譲渡権が及ばないのだから、古本屋に売ったり、他人に譲り渡したりできる。別に、金銭が関わる必要はない。著作権者から、あるいはその承諾を得ている者から著作物の複製物を入手した場合、それには譲渡権が及ばないという
【ABC 2012 Spring】高木浩光氏が講演 - 「スマホアプリの利用者情報送信における同意確認のあり方」について (1) オプトイン・オプトアウトの線引きについて | Android(アンドロイド)情報の総合�
3月24日に東京大学 本郷キャンパスで開催された「Android Bazaar and Conference 2012 Spring」において、産業技術総合研究所情報セキュリティ研究センターの高木浩光氏が「スマホアプリの利用者情報送信における同意確認のあり方」と題した講演を行い、スマートフォンのアプリがどのように情報収集の同意を行うべきかを説明した。 オプトインとオプトアウトの線引き 今回の講演は、3月8日に総務省で開催された「スマートフォンを経由した利用者情報の取扱いに関するワーキンググループ(WG)」の第3回におけるヒアリングを拡大したもの。高木氏はまず、講演の前提として、2009年から開催された「ライフログ活用サービスWG」の第2次提言(10年5月)が、行動ターゲティング広告に関して業界のガイドライン策定を促していた点を説明。こうした取り組みに対して、昨年来、「カレログやミログのAp
環境省が推進するがれき広域処理の意味――前編:大量のがれき - はてなブックマークニュース
こんにちは。はてなブックマークニュースはこのたび、環境省の広報業務をお手伝いすることにしました。記事のテーマは東日本大震災の被災地で発生したがれきの広域処理です。記事は、前編と後編の2本で構成します。この前編では、被災地のがれき広域処理の現況と、その必要性を取材をもとにまとめます。取材と執筆は、ジャーナリストの津田大介さん(@tsuda)です。(編集部) (※この記事は環境省の提供によるPR記事です) 「みんなの力でがれき処理」――。環境省は、東日本大震災で発生した宮城県、岩手県の災害廃棄物(がれき)の広域処理を推進している。広域処理とは、被災地で発生したがれきを、被災地以外の場所で処理すること。あわせて環境省は、テレビや、新聞、ネットで大々的に、この広域処理についての広報キャンペーンをしている(本記事もそのキャンペーンの一環として取材・執筆されている)。 テレビCMは環境省の広域処理情報
出版社に原版権を…業界、法整備目指す : 文化 : 社会 : YOMIURI ONLINE(読売新聞)
電子書籍時代に対応した著作権や出版権のあり方を検討するため、大手出版社、作家、超党派の国会議員で作る「印刷文化・電子文化の基盤整備に関する勉強会」(座長=中川正春防災相)が、「出版物原版権」という新たな権利の創設を目指すことで合意した。 電子書籍の違法コピーに対し、出版社は訴訟を起こすことができないなどの不備を改め、普及を促すことが目的だ。 電子書籍は一瞬で大量にコピーすることができるため、いわゆる「海賊版」が横行しやすい。しかし、著作権法が認める出版社の出版権は電子書籍を想定しておらず、違法コピーが出回っても著作権者である作家が自ら訴訟を起こすしかないのが現状だ。 新たに創設を目指す「出版物原版権」は、作家の著作権を100%保護したうえで、紙の本や電子書籍という形に加工した「原版」に対する権利を、追加的に出版社に与えるという枠組みをとる。具体的な中身は、原版を〈1〉複製する複製権〈2〉イ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「はてな開発者ブログ」開始のお知らせ - Hatena Developer Blog
http://www.foodnotbombs.net/
マルウェア出現数 PC : Android™フォン= 4000 : 1.1 Android™フォンのマルウ - Bing
視覚障害者の情報文化を紹介するアメディア・レポート [まぐまぐ!]
セキュリテ サステナブルファイナンス
【日本赤十字社】一次救命処置(BLS)~心肺蘇生とAED~