確認画面でhiddenに入力値を埋め込むのはセキュリティ的にダメか? | ブログが続かないわけ
お礼 先のエントリー(初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス)で、自分でもびっくりするくらいのブックマークを頂いた。この内容が参考になると思ってブックマークしてくれた人より、他の人にも紹介したいとか、よくあるよねといった共感に近い気持ちでブックマークしてくれた方が多かったのは、素直にうれしいしと思ったし、安心もした。 本題 ただ、何人の方から「確認画面でhiddenに入力値を埋め込むこと」に対して疑問を抱かれた。これに対して僕なりの解釈を付け加えておきたいと思う。 以下は、あくまでもフォームの話。 セッション管理されたシステム内におけるなんらかの書き込みシステムでは、話が全く変わってくることにご注意を。 結論から言うと「確認画面でhiddenに入力値を埋め込むこと」はセキュリティ的には問題ない。 (以下、この方法をhidden方式と呼ぶ) そもそも、セキュリティ
パスワードを平文で管理するのはダメだ | ブログが続かないわけ
最近の入門書はとにかくセキュリティ面がおろそか 今日の話は既知の人に取っては当たり前のことばかりなんだけど、こういうことって最近の入門書には書かれていないし、受託案件でクライアントから出てくる要件に含まれていることがほとんどないから、もしかしたら普通にプログラミングの勉強をしているだけでは知らないままになってしまうかもしれないと思って書いてみた。 大手プロバイダで学んだセキュリティの意識 社会人1年目は大手プロバイダで働くことになった。まだ、僕がプログラミングの世界に入る前のことだ。そこでは、お客様からのお問い合わせに対応するというのが僕の仕事だった。当時、お客様を納得させるのがとても大変だった問い合わせが、パスワード忘れに関するものだ。 お客様は、問い合わせさえすればすぐにでもパスワードを教えて頂けるものと思っているのだが、ことはそう簡単には運ばない。 パスワードの伝達手段や、問い合わせ
知っておいて損はないAJAXやCSSを駆使したタブインターフェース18種類 - GIGAZINE
技術的知識が無くてもタブを作れるフリーソフトからかなり派手な効果を伴うタブ作成ライブラリ、Yahoo!やGoogle、Adobeの作ったタブまで、いろいろと応用が利いて独自の特徴があるものをざっくりと18種類ほどピックアップしてみました。 いろいろなページやブログで頻繁に見かけるタブ方式のメニューですが、こうやって並べてみると実は見せ方も使い方も種々様々であることがよくわかります。 まずは知識不要でタブが簡単に作成できる「CSS Tab Designer」。Windows用のフリーソフトで、約60種類ものデザインが用意されています。その中にタブ方式のメニューもたくさん用意されており、ほかにも縦型のメニューやZDNet風メニューなども用意されています。 OverZone Software - CSS Tab Designer 細かいカスタマイズが可能なタブメニュー。画像を使ったサンプルも用意
YappoLogs: Apacheで携帯キャリアのIPアドレス制限をするには
Apacheで携帯キャリアのIPアドレス制限をするには 塩とDishuberを使えば良い。 用意するもの config.yaml cidr.tt contents.tt frame.tt 以上のファイルと最新のDishuberだけである。 それぞれのファイルの中身はとても単純。 frame.tt [% content %] contents.tt[% FOREACH cidr = meta.cidr %] [% cidr -%] [% END %] cidr.tt# [% meta.source.meta.carrier %] [% FOREACH cidr = source %] Allow from [% cidr -%] [% END %] そして config.yaml plugins: - module: Source::MobileCIDR cid: docomo config
BKCon 2006 - にぽたん研究所
昨日は BKCon 2006 に行ってきた。 BK というのは「一般的にはバッドノウハウの事」なんですが、昨日のは、BKCon と言っても、かつて開催された Bad Knowhow Conference 2004 の続編とかではなく、"B"atara "K"esuma "Con"ference 2006 です。 ※正しくは横浜 Linux ユーザグループ主催の「第 65 回カーネル読書会」のテーマ "mixi.jp: Scaling Out With Open Source" です。 ちなみに、Batara Kesuma さんというのは、株式会社ミクシィの取締役。 mixi の裏側を見せますというか、ちょっと hip な言いかたをすれば "Inside mixi's backend" ってカンジです。 とりあえず、プレゼン内容は YAPC::Asia の時と大凡同じでしたが、プレゼンの持ち
Visitors - fast web log analyzer
Visitors は Linux、Windows およびその他の Unix ライクな OS で動くとても軽快なウェブログ解析ツールです。 ウェブサーバログファイルを入力すると、統計をいろいろな形のレポートとして出力します。 その設計方針は同じタイプの他のソフトウェアと比較するとかなり異なっています: インストールは必要ありません。高速なコンピュータでは毎秒最大150,000行のログエントリ(作者自身のログファイルの平均では毎秒20MB)を処理します。 コマンドラインで実行するように設計されており、html とテキストでレポートを出力します。 テキストのレポートを less にパイプすることで ssh を通じてウェブ統計をチェックすることができます。 バージョン 0.3 で導入された Visitors ストリームモードによってリアルタイム統計をサポートしています。 ログの書式を指定する必要は
ゆーすけべー日記
サキとは彼女の自宅近く、湘南台駅前のスーパーマーケットで待ち合わせをした。彼女は自転車で後から追いつくと言い、僕は大きなコインパーキングへ車を停めた。煙草を一本吸ってからスーパーマーケットへ向かうと、ひっきりなしに主婦的な女性かおばあちゃんが入り口を出たり入ったりしていた。時刻は午後5時になる。時計から目を上げると、待たせちゃったわねと大して悪びれてない様子でサキが手ぶらでやってきた。 お礼に料理を作るとはいえ、サキの家には食材が十分足りていないらしく、こうしてスーパーマーケットに寄ることになった。サキは野菜コーナーから精肉コーナーまで、まるで優秀なカーナビに導かれるように無駄なく点検していった。欲しい食材があると、2秒間程度それらを凝視し、一度手に取ったじゃがいもやら豚肉やらを迷うことなく僕が持っているカゴに放り込んだ。最後にアルコール飲料が冷やされている棚の前へ行くと、私が飲むからとチ
Gmailの添付ファイル操作に関するTipsあれこれ | P O P * P O P
おなじみLifehackerでGmailの添付ファイルに関するTipsが紹介されていました。 » Ask Lifehacker: Keep track of attachments in Gmail? – Lifehacker これは知っておいて損はないですね・・・簡単に幾つかご紹介。下記からどうぞ! Gmailを使っていて「添付ファイルがついているメールだけを検索したい」と思ったときはありませんか。 そういうときは「has:attachment」なる検索方法を覚えておくといいでしょう。これで検索範囲を「添付ファイルがあるメールから検索」にしてくれます。 そしてさらにエクセルやワードだけ検索したい場合は続けて「xls」や「doc」などの拡張子を入力します。 ↑ エクセルを添付してあるメールだけを検索してみました。 さらに送信者で絞り込みたい場合は、「from:100shiki」などを入力。
Weblogs.Com XML-RPC interface 日本語訳 - futomi's CGI Cafe
本ドキュメントは、UserLand Software, Inc. が公開している 『Weblogs.Com XML-RPC interface』 を futomi が日本語化したものです。みなさまの理解に役立てれば幸いです。なお、緑色で記載された文章は、futomi が注釈として加筆したものです。また、一部、直訳ではなく、意訳した部分がございます。原文と表現が異なることがございますので、ご了承ください。 注意: この日本語訳は、futomi が理解を深めるために、自分なりに日本語化したものです。本日本語訳には、翻訳上の誤りがある可能性があります。したがって、内容について一切保証をするものではありません。正確さを求める場合には、必ず原文を参照してください。当方は、この文書によって利用者が被るいかなる損害の責任を負いません。 もし誤りなどを見つけたら、こちらからご連絡いただければ幸いです。 W
無料でドメイン名が取得でき、サイトが構築できる「Office Live Beta」 - GIGAZINE
無料でcom, net, orgのいずれかのドメインが一つ無料で登録できます。1年目だけ無料とかそういうのではなく、サービスを利用し続ける限りは毎年マイクロソフトが代わりにドメイン代金を支払ってくれます。サービスを途中でやめた場合はそのドメイン名は自分のものになります。その場合は自分で払うことに当然なりますが…。また、自分の持っているドメインを持ち込むことも可能です。なお、有償でJPドメインも利用可能。 で、これは一体どういうサービスかというと、個人事業主とか小規模事業所向きのオンラインサービスで、無料版の「Microsoft Office Live Basics Beta」の場合、独自ドメイン1つ・電子メールアカウント25個(1カウントの容量は2GB)・Webサイトホスティング(容量500MB)・Web デザインツール(AJAXを使っているとのこと)・トラフィックレポートツール・データバ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AmebaVision APIドキュメント
midomi
便利そうなGoogleのチートシートを二枚ほど | i d e a * i d e a
新規でサイトを作る際に僕がいつも使ってるCSSのセットを公開するよ::::::STOPN' LISTEN::::::to the silence:::::::
書評と新刊情報 - 本が好き!
ma.laさんによるライブドアテクノロジーセミナーのプレゼン資料「Technologies for UI」
JavaScript++かも日記 - 1997年からの
学校では教えてくれないお金の法則 -
http://www.e-3lab.com/
セキュリティガイドライン