PHPのSession Fixation問題
(Last Updated On: 2006年10月24日)PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。 セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です
本田雅一の「週刊モバイル通信」 レノボ、内藤在正氏インタビュー
日本IBMが同社のノートPC、ThinkPadシリーズの大きなアーキテクチャ変更を行なったのは2000年5月だった。ACアダプタやドッキングステーションの仕組み、内部の制御コントローラ、電源スイッチやボリュームボタンを配した共通デザインのキーボードなど、シリーズ間の互換性(周辺機器だけでなく、操作感を含めた道具としての統一感)を徹底的に高め、その基本的な考え方は現在まで引き継がれてきた。 時は流れレノボとなり、今回実に5年9カ月ぶりに投入されるXシリーズ、Tシリーズは、2000年からの流れをいったん断ち切り、全く新しいThinkPadアーキテクチャの上で構築された初の主力モデルである(新アーキテクチャの一部はすでにZシリーズで披露されていた)。それは中国企業となって初の本格的なモデルチェンジであり、同社製PCの今後を占う意味でも重要な製品となるだろう。 ThinkPadシリーズ開発の功績を
[を] 縦型夏休み
縦型夏休み 2000-08-02-3 夏休みとして、5日分平日に休みが取れるとのことなので(選択休暇)、 8月の水曜日を全部夏休みにした。これで夢の週休3日生活がおくれるぞ。 二日働いて休み、二日働いて休み、という理想の生活。 というわけで今日はお休み。 Referrer (Inside): [2006-02-15-2] [2001-08-03-2]
梅田望夫著『ウェブ進化論ー本当の大変化はこれから始まる』を読んだ(上)
2006年02月13日 梅田望夫著『ウェブ進化論ー本当の大変化はこれから始まる』を読んだ(上) カテゴリ:読書日記 昨日買ってきたばかりの梅田望夫著『ウェブ進化論ー本当の大変化はこれから始まる』が非常に面白かったので一気に読んでしまった。 この本、知人である葛飾の若手IT社長さんも書いておられるが、ネットに詳しい方にとっては、「こんなことみんな知ってるよ」というような内容だろう。しかし、最近話題の用語、Web2.0とか、ロングテール現象とか、同書の中では「あちら側」と「こちら側」という表現で対比されているGoogleとマイクロソフトの違いが実はよくわからない、という方には、是非読んで頂きたい。難しい専門用語は使われていないので、何となくそうなのか、といったくらいのことはおわかり頂ける筈だ。 あとは同書の中に書いてある通り、アナロジーで理解するのではなく、ご自身がネットを仕事でもプライベート
任天堂、ニンテンドーDS向けATOK搭載Webブラウザを6月に3,800円で発売
任天堂は、携帯ゲーム機「ニンテンドーDS」向けのWebブラウザ「ニンテンドーDSブラウザー(仮称)」を6月に発売することを明らかにした。価格は3,800円となる見込み。また、ジャストシステムはニンテンドーDSブラウザー向けにATOKを提供すると発表した。 ニンテンドーDSブラウザーは、任天堂とOpera Softwareが共同開発したWebブラウザ。ニンテンドーDS専用カードスロットにWebブラウザを収録したカードを、ゲームボーイアドバンス専用カートリッジスロットにメモリ拡張カートリッジを挿入することで、無線LAN通信によるWebブラウジングが可能となる。6月よりオンライン販売を行なう予定で、価格は3,800円となる見込みだ。 また、ニンテンドーDSブラウザーにはジャストシステムの日本語入力システム「ATOK」が搭載されることが明らかにされた。搭載されるATOKはニンテンドーDS向けに予測
《羅針盤》「著書のインターネット全文公開は暴挙か?」
"Ask not what the net can do for you-ask what you can do for the net." 森岡正博(大阪府立大学総合科学部教員) 私は、哲学・生命学の研究者だ。脳死臓器移植問題から、電子メディア論まで、いろんなことに首を突っ込んでいる。複雑怪奇な現代社会を分析するのがとても面白くて、いままで6冊の単著と、数冊の共著を出版してきた。私の本を系統的に読んでくれる読者の方にもめぐまれて(ほんとうにありがとうございます)、書店に行くと、現代思想や科学論あたりに私の本が常備されているという状況がついこないだまでは続いていた。 と、過去形で書いたのにはわけがある。というのも、昨年あたりから、私の本がたてつづけに絶版になったのである。それも3冊続けてだ。そして、それらの本が書店で手に入らないということを、私は出版社からではなく、読者の方からの私への問い
Google、ブログ専用アクセス解析サービスを買収
Googleがブログ向けのアクセス解析サービス「Measure Map」を買収した。 Measure Mapはブログ専用のアクセス解析サービスで、現在は招待制のテストが行われているところだ。これまでAdaptive Pathという企業の下で運営されていたが、買収によりGoogleに移ることになった。買収額は公表されていない。 Measure Mapのプロダクトディレクター、ジェフリー・ビーン氏は、今回の買収は「わたしがパートナーとともにAdaptive Pathで進めてきたユーザー体験への取り組みが認められたということだ」と公式ブログで述べている。 Googleは昨年11月に無料アクセス解析サービス「Google Analytics」をリリースしたが、Measure Mapはブログ専用という点で異なっている。
tapestry @ Hatena - 私は土日まとめて休みたい派
私は土日まとめて休みたい派 id:jkondoが今日の日記で「息継ぎは多い方が楽に決まっている〜水・日曜休みのススメ」というエントリーを書いています。週のうち水曜と日曜を休みにすれば、疲れないから1日休みでもOK、毎日を自然なリズムで過ごせるぜ、というお話です。 同じ屋根の下に住んでいる私は、この「水・日」休みにまったくなじめないんです。いくら彼のお話が説得力があっても、自分の心と体は週末に続けて休むほうが合っているようです。 まず土、日の2日間を続けて休みますと「土曜日はひたすら体を休める日」にして、その後「日曜日はちょっと目先の変わったことを楽しむ日」にすることができます。 月から金まで、色々あるけど仕事でがんばれば、土曜日に得られる開放感と休める喜びはひとしお。しなもんとの散歩もゆっくり楽しめて、さらに昼さがりにこたつにもぐりこんでお昼寝をたっぷりすることもできる。翌日の日曜も休め
jkondoの日記 - 息継ぎは多い方が楽に決まっている〜水・日曜休みのススメ
今日は花の水曜日です。なんで花かというと、仕事がお休みなのです。 はてなでは先月から土曜日と水曜日の好きな方を選んで休むことができる週休2日制を導入しました。それまでは土・日と休む日が決まっていましたが、それを選択性にしたのです。 創業時、はてなは週休1日制でした。土曜日でも必ず出勤して1日中仕事をしていたし、ベンチャーならそれが当たり前だと思って頑張っていました。不思議なもので、KRPのようなインキュベーション施設に入居していて、周りの企業が土曜日に休みを取っていても、「世の中の企業に差をつけられるチャンスだ」くらいの気持ちでやっていたのを覚えています。 はてなの事業で売上が出るようになって、少しだけ資金のやりくりにも余裕が出てきた頃に、週休1.5日制にしました。さすがに体力的につらかったからです。 それから人が増えたりして昨年完全週休2日制にしたのですが、どうにも月曜日にエンジンがかか
任天堂、「ニンテンドーDS カンファレンス! 2006.春」開催。「ニンテンドーDS Lite」実機を初公開
【9月26日】 レベルファイブ、「LEVEL5 VISION 2008」開催 完全新作や新規プロジェクトを多数発表 SCEJ、「PlayStation C.A.M.P!」インタビュー これまでにないゲームを作り出す人材を発掘する 新クリエイター発掘支援プログラム ヴァナ・ディール“水晶大戦”探放記 バージョンアップレポート“「アルタナの神兵」編” シージターレットがお目見えした最新カンパニエ仕様から 獣人拠点の将領NM、新WSクエスト冒頭など紹介!! コーエー、PSP「Zill O'll 〜infinite plus〜」 新キャラクタ登場などの新要素を追加して発売決定 タッチペンですべて操作できる新感覚ボクシングアクション ESP、DS「はじめの一歩 THE FIGHTING! DS」 バンダイナムコ、「SEED DESTINY」より3機のガンダムが参戦!! PS2/PS3/
ニンテンドーDS Conference(カンファレンス)! 2006.春
本日は、お忙しい中、多数の皆様にニンテンドーDSカンファレンスにお越しいただき、ありがとうございます。 ニンテンドーDSが一昨年12月に日本で発売されてから、1年と2ヶ月ほど経過し、幅広いお客様に普及が進んできたことは、今日お集りの皆様ご存知の通りですが、まず最初にDSのこれまでの歩みについて、最新の情報を交えてお話ししたいと思います。 過去2年に渡り、私は、「任天堂の基本戦略は、年齢・性別・ゲーム経験の有無を問わず、誰もが楽しめるような商品を提案することで、ゲーム人口を拡大することである」と繰り返しお伝えしてきました。そして、その目標のもとに私たちが発売した最初のゲーム機が、 ニンテンドーDSでした。ビデオゲームのプレイスタイルは、任天堂が20年以上前に提案した十字キーとボタンを使った両手操作が長い間ずっとスタンダードでした。しかし、「ビデオゲームは左右の手を同時に使って器用にボタン操作
trac関連のメモ - いしなお! (2006-02-13)
_ trac関連のメモ 複数tracプロジェクトは同じディレクトリ(/path/to/tracprojects/tracs)に配置した方がいい*1。同一ディレクトリ下のプロジェクト群を、tracdはまとめて管理してくれる。 関連するsubversionレポジトリについても、レポジトリ同士*2は同じディレクトリ(/path/to/tracprojects/svns)に作っておけば、mod_dav_svnでSVNParentPathとAuthzSVNAccessFileを組み合わせて、そのディレクトリ内のレポジトリをまとめて管理できる*3。 また、tracdもmod_dav_svn経由のsubversionも、同じhtpasswd互換のパスワードファイルを使って認証することができるので、tracとsubversionで共通のアカウント管理が可能。 tracプロジェクトの管理ユーザーの追加(*4
GoogleがOSに進出?
米Googleが今度はデスクトップOSの提供を計画している―。こんなニュースが伝えられた。しかも、ベースはLinuxディストリビューションという。本当ならば、長らくデスクトップ分野への進出を狙ってきたLinux陣営にとって大きなインパクトを与えるだけでなく、デスクトップでの覇権争いを左右する可能性もある。 1月31日、英IT専門サイトの『The Register』は「Google at work on desktop Linux」というタイトルで、Googleが社内OSとして「Goobuntu」というLinux OSを開発・利用していると報じた。同サイトによると、Googleの広報担当者はGoobuntuの存在を認めたが、プロジェクトの目的や外部に提供する計画があるかについては、コメントを避けたという。また、Ubuntuのサポートを担当する英Canonicalもこれを認めている。 Goog
家計簿なら散財.com
無料の公開家計簿サイトです。家計簿や商品レビューを通じて、あなたのお買い物を記録をしてみませんか? また、商品やお店のページには、いろんな情報が掲載されているので、欲しい商品、行ってみたいお店の比較・検討にも便利です!散財.comの家計簿は、ココが楽しい! ・「贅沢は敵だ!でもステキだ!」って思いません?「散財.com」はそんなアナタのための無料家計簿。家計簿で節約も散財もバッチリ管理! ・家計簿を始めてもいつも三日坊主。そんなアナタでも長続きできるのが「散財.com」の家計簿です。家計簿を公開して、みんなとツナガル。楽しい発見が「散財.com」の家計簿にはあります! ・家計簿だけじゃない。買い物の日記や商品レビュー、みんなで作る商品のコミュニティであなたの買い物が楽しくなる。ツナガル家計簿サイト「散財.com」で、今すぐ買い物ライフを満喫しよう!
「ウェブ進化論」はなぜ「書籍」として出版されなければならなかったのか
梅田望夫氏の「ウェブ進化論」は、「次に日本に出張した時に読む本」としてアマゾンのウィッシュリストに入れておいたのだが、昨日になって梅田氏本人から本が贈られて来た(感謝、感謝)。ついこの前もSixApartの「ブログオンビジネス」でほとんど同じようなことを経験したので、妙なデジャブ感覚を味わいながらの一気読みである。 梅田氏とは一度だけ食事を一緒にしたことがあるのだが、その時に一番印象に残った言葉は、「コンサルタントという商売は並大抵の忍耐力ではできない商売ですよ」という言葉。この本を読んでも伝わってくるが、「今ウェブの世界で何が起こっているか、何が起ころうとしているか、なぜGoogleがあれほどの株価総額を持つのか」というごく単純なことを理解できない、理解しようともしない人がこの世の中にはたくさんいて、そういった人たちに本当の意味で有意義なコンサルタントサービスを提供したり、説得したりする
Sanscons ? SOME RANDOM DUDE
This Week’s Weekly Links of the Week - Week 13 Aug13 abbr tag, acronym tag, adsense, AJAX, am deadlink, art, bully, bush, democracy, earthquake, flickr, flickrstorm, ford, gas, global warming, google, javascript, john powers, military themepark, online privacy, photo fraud, photorealism, programming, reuters, rockstar, semantics, topix, tripod, tsunami, tv, video, video games web design This week’
自宅をVoyagerに改造して破産 | スラド
sillywalk曰く、"Hotwiredの記事によると、英国在住のTony Alleyne氏は、自宅アパートを丸ごとスタートレックの宇宙船「USS Voyager」の船内に改装してしまったそうです(関連記事)。 当初は冷蔵庫を“ワープコイル”に改造する程度だったものが徐々にエスカレートしていき、青く光るタッチパネルや指揮卓、壁、果ては転送時の効果を演出するライトを備えた実物大の転送室まで作る始末。最初の冷蔵庫を改造した時点で奥さんに逃げられ、積もりに積もったクレジットカードの負債は10万ポンド(約2000万円)まで達したとのこと。一度は200万ドルでアパートごとeBayに出品したものの買い手はつかず、ついに彼は破産申請してしまいました。 彼に長寿と繁栄を…。"
分裂勘違い君劇場 - 見た瞬間に使い方の分かるユーザインタフェース
「初心者にわかりやすいGUI」については、この記事のid:naoya氏の気持ちは、分かる気がします。 まず、プロのGUIデザイナーと実プロダクトの仕様について議論すると、ほとんど必ずと言っていいほど議題に上がるのが、「とっつきやすや」と「機能性」のトレードオフ。 よく、回すべきなのかスライドべきさせるのか、押すんだか引くんだかよく分からないドアというのがある。ドアのどちら側を押すべきなのかも分かりにくいことも多い。それは、ユーザインタフェースが、self explanatory(自己説明的)じゃないからだ。これは、よくユーザインタフェースの設計ミスの事例としてやり玉にあげられるんだけど、ぼくは、それはそんなに単純な話じゃないと思うのだ。 たとえば、丸い取っ手のあるドアは、見た瞬間、「ああ、これはドアノブを回して引くんだな」ということが、直感的に分かる。つまり、そのドアノブは、「機能」を提供
秋元@サイボウズラボ・プログラマー・ブログ: Yahoo! UI Library はすごいね
via O’Reilley Radar Yahoo! UI Library で、Yahoo! が実際に使っている Javascript のライブラリ集が公開されている。 Yahoo! のどこでこんなユーザインタフェースが使われてるんだろう? と思うぐらい、サンプルで見せられる UI パーツは豊富だ。それぞれの “Example” を見てまわるだけでもおなかいっぱいだ。 コアユーティリティ アニメーション クロスブラウザ対応の XMLHttpRequest ラッパ DOM 操作 ドラッグアンドドロップ イベントハンドリング UI コントロール部品 カレンダー スライダー ツリー ドラッグアンドドロップなんかは、ファンタジースポーツで使われているのを見たことがあるので知っていた。複数のリスト間でアイテムの移動や並べ替えを行うときには使えるパーツだろう。 日本語カレンダーなんかも、いい感じで再利
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてな 公園にベンチの長さが地球の円周以上で地球ぐるっと囲んだらベンチの足いらなくね? ってか空中に浮かね? 
VodafoneがVGA2.4インチ液晶搭載の携帯電話を開発中 | スラド