タグ

ブックマーク / bakera.jp (7)

  • DateTime::Durationでハマる | 水無月ばけらのえび日記

    公開: 2009年5月13日21時5分頃 PerlのDateTime.pm (search.cpan.org)は名前の通り日付や時間を扱うモジュールです。こんなコードを実行すると、 use strict; use DateTime; my $dt1 = DateTime->new(year => 2009, month => 4, day => 1); my $dt2 = DateTime->today; print "$dt1\n"; print "$dt2\n";

  • サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話

    「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し

    joan9
    joan9 2009/11/25
    リンク

  • 安全なテンプレートシステムはあるのか | 水無月ばけらのえび日記

    またしても「例えば、PHP」のような話で盛り上がっているようですが、それとはあんまり関係ないところに反応……「安全なWebアプリのために言語ができること (www.rubyist.net)」。 しかし、安全で苦労知らずのテンプレートシステムってあんまり見たことないのですよね。仕事で扱ったことがあるのは、 PHP + SmartyPerl + Catalyst + Template-ToolkitRuby + Ruby on Rails + eRubyといったあたりですが、いずれもXSSを回避するためには気配りが必要で、一筋縄ではいかなかったりします。 たとえば eRuby の場合、

  • ITproのセキュリティ検定がヤバイ | 水無月ばけらのえび日記

    更新: 2008年11月7日1時55分頃 こんなのがあったのですね。「ITpro EXPO検定---全11分野で,あなたのIT理解度はいかに? (itpro.nikkeibp.co.jp)」。 セキュリティ検定の解説もあったので見てみましたが、超難問が3問ほどあったので、独自に解説してみます。 Webブラウザを狙うクロスサイト・スクリプティングは,どのような問題点によって起こるでしょうか。 A) クライアントOSの弱点(ぜい弱性) B) Webブラウザを使うユーザーの油断 C) Webブラウザの弱点(ぜい弱性) D) Webサーバーの弱点(ぜい弱性) 以上、セキュリティ検定の解説【問題2】 より 「WebサーバやWebブラウザにもクロスサイトスクリプティング脆弱性がある」という知識を問う問題ですね。XSSというと普通はWebアプリケーションの問題ですが、WebブラウザやWebサーバに問題が

  • Railsの脆弱性: XML実体爆発攻撃 | 水無月ばけらのえび日記

    RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 XML entity explosion attackというのは、実体宣言の中で別の実体を参照することを繰り返して実体参照の処理負荷を高める手法のようですね。掲げられているサンプルコードは短いですが、実体参照を展開するとデータは30メガバイトにもなります。展開の処理方法によっては、メモリをい尽くしてしまうのでしょう。 外部からXMLデータのPOSTを受け付けるようなサイトは注意……と言いたいところですが、XMLデータのPOSTを受け付けないはずの

  • グッドラッパーって何? | 水無月ばけらのえび日記

    セキュリティホールmemoで紹介されていて、後で読もうと思っていた「ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 (www.jumperz.net)」を読んでみました。 ……。 ……なぜでしょう、私の前提知識が不足しているからなのですかね。何度読み直しても全然頭に入ってこないのですが……。 結城浩さんの「バッドノウハウからグッドラッパーへ― 「奥が深い」システムの改善方法 ― (www.hyuki.com)」は、とても分かりやすく思いますが、それを読んでこちらに戻ってくると、ますます分からないという……。 理解できなかったところをいくつかメモしておきます。 そして、セキュリティ対策というバッドノウハウに対し、負担を軽くするラッパー(グッドラッパー)は既にいくつも存在している。以下にいくつか例を示す。 ・SQLインジェクションに対してバインドメカニズムを使用

  • 第8回WebSig会議 ディレクター・製作者が知っておくべきセキュリティ | 作者プロフィール

    2006年7月22日、第8回WebSig会議でお話しした「ディレクター・製作者が知っておくべきセキュリティ」に関するサポートページです。とりあえず資料がダウンロードできます。 資料ダウンロードプレゼンテーション資料の PDF 版がダウンロードできます。 bakera_WebSig247_08.pdf (PDFファイル 315KB) 無断での再配布はご遠慮ください。また、資料内に含まれる画面キャプチャは全て削除されていますので、一部不自然な空白があります。

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.