インテリアに圧倒的に一人勝ちし快適な住空間を手に入れるための7つステップ
都会に暮らしているとそれはもう部屋が狭いケースは圧倒的に多い。その上、やらなければいけない仕事、読まなければならない本、見なければいけない映画、食べなければいけない食べ物の集積などで、部屋の中には物が溢れ出してくる。それはもう、あっという間に溢れ出してくる。結果、ただでさえ狭い部屋が以前にも増して狭くなり、とてもではないが気持ち良い部屋とは言えなくなる。快適空間からはほど遠くなる。家に帰りたくなくなる。ましてや友だちを呼ぶなどとはもってのほかだ。 そういう状況を何とか打破したい。1日のうち実に約50%の12時間を過ごすと言われ、その結果人生において欠かすことのできない「自分の部屋」というものを、何とか快適にして、人生そのものも快適にしたい。そういう人たちにおくる、インテリアに圧倒的に一人勝ちして、快適な住空間を手に入れ、人生までをも快適にしてしまおうという7つのステップが、以下に紹介するT
クロスサイトリクエストフォージェリ - Wikipedia
クロスサイトリクエストフォージェリ (cross-site request forgery) は、Webアプリケーションの脆弱性の一つ[1]もしくはそれを利用した攻撃。略称はCSRF(シーサーフ (sea-surf) と読まれる事もある[2][3])、またはXSRF。リクエスト強要[4]、セッションライディング (session riding[3]) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた[要出典]。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)[5]。 なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類されており[5]、全く異なる種類の
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
第25回 PHPのアキレス腱 ── セッション管理 | gihyo.jp
PHPにはHTTPセッション管理モジュールが標準で付いてきます。このセッションモジュールには非常に重大なセキュリティ上の脆弱性が修正されずに残っています。その脆弱性とはセッションアダプションです。 セッションアダプションとは、セッション固定化攻撃に利用される脆弱性です。PHPのセッション管理モジュールがセッションアダプションに脆弱であることは、かなり以前、何年も前から知られています。しかし、開発者の理解不足より脆弱性が放置されたままになっています。 セッションアダプションとは セッションアダプションとは、ブラウザ等から送信された未初期化セッションIDをそのまま利用してセッションを初期化してしまう脆弱性です。ユーザが送信してきたIDでも第三者に予想できない文字列であれば大丈夫なのでは?と考える方もいると思います。その通りで第三者に予想できなければ問題ないですし、仮に予想できてもログインする際
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
携帯電話向けWebアプリケーションのセッション管理手法 - ockeghem's blog
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのかに、高木浩光氏が携帯電話向けWebアプリケーションの安全性についてコメントされておられる。 なぜ「URLにセッションIDが含まれる場合はセキュリティに注意する必要があり」なのかと言えば、Refererによってリンク先にセッションID入りのURLが流出し、流出先サイトの人にセッションハイジャックされてしまうからだ。 確かにそうなのだが、携帯電話向けWebアプリケーションでは、セッションIDをURLに埋め込むことが定石として用いられている。 その理由は、他に適当な方法がないからである。 携帯電話向けWebの代表例であるi-modeでは、Cookieをサポートしていない。そのため、セッションIDを埋められる場所というと、 URLに埋め込む Hiddenフィールドに埋め込んでPOSTで送出する くらいしか代替手段がな
基本は『三段構成』――今さら聞けないビジネスメールの書き方 - はてなニュース
メールのやり取りなしにビジネスをするのは難しい時代になりましたが、ビジネスメールの書き方に自信が無いという人も多いと思います。そこで今回は、ネット上のビジネスメール記事を参考にしながら、ビジネスメールの書き方の基本について簡単に確認してみましょう。 さて、一口にビジネスメールと言っても、「相手に自分から送信するのか、返信するのか」、「社内向けか、社外向けか」、「初めての相手か、二度目以降なのか」など、状況に応じて様々な書き方が存在します。とりあえずここでは、最もフォーマルな書き方が要求される「社外」の「初めての相手」に向かって「送信」するという状況を想定して紹介します。 さて、ビジネスメールは、基本的に以下のような3つのブロックによって文章が構成されます。 1. 前文 2. 本文 3. 末文 前文では「相手への挨拶とメールを送った目的の説明」、本文では「メールの用件の具体的内容」、末文では
BitmapData.thresholdで画像の特定の色を変える
こんにちは。最近Flexばかりいじっている松田です。今日もFlexネタです。 今回は、与えられた画像の特定のエリアをハイライトさせるスクリプトを作ってみました。 正確にはマウスオーバーしたピクセルと同じ色のエリアのハイライトをしています。 画像の読み込みには大抵の場合Loaderを使用しますが、Loaderで画像を読み込むと画像がBitmap型に変換されてLoader.contentに入ります。 このBitmapは画像データのただの器のようなもので、画像自体に手を加えるには、Bitmap.bitmapDataをイジることになります。 BitmapDataには画像処理を行ううえで便利なメソッドが多く用意されていますが、その中から今回はthresholdメソッドを使ってます。 おおまかな流れは以下のとおり。 1. 画像の取得、配置 ↓ 2. マウスカーソル位置の画像の色を取得 ↓ 3. 画像内
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
1ka2ka.com