Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に
GPLは感染するか否か
というコメントを頂いてしまった。ちょッ、代表ッ!!と言いたいところであるが、これは視点を変えると現在はGPLに対するFUDが成功してしまっている状況なので変えなくてはマズイという認識に至った。@tmtms氏ほどの人物をして、「GPLが感染するというのはFUDでない」と思ってしまっているのだから。しかもごく自然に。 GPLは自ら広がることはない「感染」という言葉から受け取る印象はいったいどのようなものであろうか。恐らく多くの人は病原菌やウィルスのようなものが勝手に人体に入り込んで諸症状が生じた状況を思い浮かべるだろう。コンピュータに当てはめると、コンピュータウィルスに「感染」してしまった状況をまっさきに思い浮かべるのではないだろうか。そして多くの人は「それは大変な状況だ」と考えるはずである。 そういう意味では、GPLが感染するということはあり得ない。ソフトウェアライセンスがコンピュータウィル
ServersMan@VPSでのiptables設定(state版)
ServersMan@VPSでのiptablesがstateに正式対応したようなので、以前の改訂版としてstateを使用したルールの書き方をまとめる。 (注意) stateに対応したという情報が流れた後に一時的に「stateの文法が通るようになったが実際は動作しない」という時期があった。5/12日現在においては、一旦rebootすることで正常にstateが動作するようになるので、この記事の内容を試す前に一旦rebootすることをおすすめする。 これからやること まず、簡単にstateを利用したルールの作り方を書くと、 ESTABLISHED, RELATEDというstateな通信を許可するルールを設定 その後ろにサービス提供したいport宛のNEWというstateな通信を許可するルールを設定 最後にすべてDROPする となる。1で設定するルールによってESTABLISHEDなtcpコネクシ
2010-09-22 - IT戦記
はじめに 今日から、オーマ株式会社の二人目の社員として、オーマ株式会社に入社いたしました。(大事なことなので2回言いました) よろしくお願いいたします。 オーマ株式会社では あのひと検索スパイシー というサイトを作っています。 僕も、これれから SPYSEE の企画、開発、運用、そして、様々なサポート(トイレ掃除とかね!)をやっていこうと思っています。 みなさま、よろしくお願いいたします! 今日は、僕が「この会社で何をやっていきたいのか」を書いておきたいと思います。 これから何をやっていきたいか 僕がこれから SPYSEE でやっていきたいことは三つあります。 それは、 「運命の出会い」の確率をあげたい! 人の背景を知ることで、コミュニケーションをもっと楽しくすること アピールが苦手な人(シャイなあんちくしょう)でも損をしない仕組みを作ること です。 これは、あくまでも「今、僕が考えている
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
