たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
Facebookがサードパーティアプリケーションに対し友達を介してユーザの情報を見せないよう変更 2011年08月25日21:46 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 今週の火曜日、Facebookはプロフィール管理と共有オプションでの大幅な変更を発表した。これらの変更は今日、8月25日に公開される。エフセキュアのSave and Savvyブログで、この変更に関するJasonの素晴らしいまとめが読める。 他方で我々は、詳細を見て、行間を読むのに忙しい。 そして考えるべき項目は多々ある: ちょっと待て… まだある: へえ! これは興味深い。(Facebookはここに良い手がかりを隠している…): 「この設定(「友達が利用するアプリやサイトがアクセスできる情報」)は、友達からアプリへの情報提供だけでなく、あらゆるユーザーによる情報提供に適用されるよ
「Mobage」などが8月25日午前にアクセスできなくなった障害の原因について、データセンターを運営する新日鉄ソリューションズは「データセンター内のテナントが行なっていた工事中に誤って回線を切断したため」と説明した。 Mobageを運営するディー・エヌ・エー(DeNA)によると、障害は午前9時20分に発生し、Mobageにアクセスできず、ゲームができない状態になった。午前11時40分から順次復旧作業が進み、午後7時前にはMobageはほぼ復旧した。 新日鉄ソリューションズは「みなさまには多大なご迷惑をお掛けし、お詫び申し上げます」と謝罪している。 関連記事 Mobageアクセス障害、原因はデータセンターの回線障害 Mobageにアクセスできなくなる障害の原因は「データセンターの通信障害」とDeNAは説明。25日中に完全復旧する見通しという。 関連リンク ニュースリリース
Android開発でデザインを整えているときに枠線を付けたいけど、それらしいプロパティがないのでどうやって実現するか調査したメモ。 ここのメーリングリストを参考にした。 次のようなxmlファイルを/res/drawableに作成(今回はborder.xmlとした) <shape xmlns:android="http://schemas.android.com/apk/res/android"> <stroke android:width="3px" android:color="#CCCCCC" /> <padding android:left="2px" android:top="2px" android:right="2px" android:bottom="2px" /> <corners android:radius="2px" /> </shape>
違和感の正体に気付いたのは、実は最近のことです。オフィスについて、感じていた感覚の「ズレ」のようなものですが、分かってみれば簡単な話でした。 それは、 「自分の働く『場所』が好きか」 ということ。 日々働くオフィスが「嫌い」と言わないまでも、ニュートラルに過ごしていませんか? 調度を選べる訳じゃないし…と。問いを変えてみます。ずっと、将来に渡ってその場所で働くことに「満足」していますか? 幸い、私は自社の事務所が好きです(ほとんど愛しています)。最近は、特に用事がなければ無意識に事務所に帰って来きます。窓ガラスを拭くことに喜び、コーヒーの香りに小躍りし、事務所のインテリアは今や私の最大の関心事です。 ま、少々度が過ぎることは自覚していますが、インテリア業界につま先を突っ込んでいるため、ということで勘弁下さい。でも、最初からこうだった訳ではありません。年の始めまでは、私も「オフィス」らしい事
jQueryヘビーなアプリケーションの問題点と、MVCによる構造化の必要性 jQueryは、ブラウザ上で動くJSアプリケーションの開発生産性を劇的に向上させました。DOM操作による動的なページ書き換え処理などは、セレクタを使ってちょろっとコードを書くだけで、ほんの数行で記述できてしまいます。 しかし、この方法の延長で、大規模なJSアプリケーションを構築することは果たして現実的でしょうか。例えば「GMail」や「New Twitter」程度の規模のJSアプリケーションを書かなければならないとしたら、どうでしょう? 大規模なJSアプリケーションを開発するには、こういった手法を延長するのではなく、より洗練されたデザインパターンを導入する必要があります。この目的にぴったりのデザインパターンが、「MVC」デザインパターンです。 MVCパターンは、Webの世界ではサーバサイドプログラミングで広く知られ
これまで。 これから。 これまで。 もちろん大学にいた頃は、先を見据えて点と点を結ぶことは不可能でした。しかしそれは、10年後に振り返ってみると非常にはっきりと分かります。もう一度言います。あなた方は先を見て点と点を結びつけることは出来ないけれども、過去を振り返るとそれらをつなげることが出来るのです。だからあなた方は、将来点同士が何らかの形でつながることを信じなければなりません。-Steve Jobs いまから6年前。アメリカの高校3年生で、大学も決まってなかった俺は、スタンフォード大学で行われた彼のスピーチが大好きだった。 高校生になったのび太くんだった。運動はからっきし苦手で、成績もそこそこで特技も無く、睡眠時間より長い間2ちゃんを読んでた。何よりも友達が少なかった。なんとかしなきゃと思ってたとき、ドラえもんの代わりにStay Hungry, Stay Foolishという言葉がやって
ガイドブックアプリを使いこなそう! プログラム担当の遠藤です。 PyCon JP 2011では、iOS/Androidなどのスマートフォン向けにガイドブックのアプリケーションをGuidebook: Simple Mobile Guidesを使用して用意しています。 このガイドブックアプリでは、全セッションのスケジュールや会場マップを閲覧することができ、気になるセッションを集めた自分だけのオリジナルスケジュールも簡単に作成できる非常に便利なツールです。 PyCon JP 2011の参加者であれば無料でアプリケーションを利用できます。携帯電話向けにもWebベースで同様のアプリケーションを提供しています。 では、アプリケーションのダウンロードからご紹介します。 まずお手持ちのスマートフォンのブラウザで、アプリケーションのダウンロードページにアクセスしてください。"Guidebook"アプリケーシ
If everyone was enamored of the time networkers, work synonymous with Bio_100% android and PC simultaneous release (flash) Shooter should be handed down as a masterpiece even now say more than 20 years have passed since the publication of version PC-9801, became synonymous with Bio_100%. Renowned as an excellent work that has been tightly crafted, in 1992 boasts a high degree of perfection about w
Wikipediaの「削除された記事(AfD: Article for Deletion)」に関するデータ視覚化プロジェクト "Notabilia" を紹介する。視覚化を通じて見出されたパターンが興味深い。その他、研究成果の興味深い発見を紹介する。また、触発されたアイデアも述べる。 Notabiliaは、Wikipediaの記事が削除に至るまでの審議過程を視覚化 (visualize) している。 Taraborelli & Ciampagliaの研究 (論文PDF) をもとに、「情報視覚家」 (information visualizer) の Moritz Stefaner が制作した。 Stefaner は、認知科学の学士号と、インタフェース・デザインの修士号を持っている。 Wikipedia の記事は、次の過程で削除される。「削除依頼」が出された記事は「特筆性 (notabilit
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。 Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエスト
「Android」の無印ブラウザは、再び「WebKit」集団の仲間になろうとしている。 Android搭載の携帯電話機やタブレットで単に「Browser」と呼ばれるこのソフトウェアは、WebKitと呼ばれるオープン・ソース・ブラウザ・エンジンをベースにしている。ブラウザとWebkitは長く別々の道を歩んでいたが、現在Googleは両プロジェクトの再統合を図っており、Androidでも「Chrome」ブランドのブラウザがリリースされる可能性を示唆している。 GoogleのAndrei Popescu氏は米国時間8月22日、メーリングリストのメッセージで「WebKitコミュニティーとのより良いコラボレーションを楽しみにしている」と語っている。これはChrome開発チームの新メンバーであるPeter Beverloo氏によって伝えられ、TechCrunchに掲載された。 Androidブラウザと
概要[編集] 札幌市豊平区に所在する、とある企業が開発したゲームが対戦に使用される場合が多い。 報道機関や他のメディア、政府直営の対戦者などにプレイヤー募集の文書を送付することを爆破予告と呼ぶ。 プレイ環境[編集] 前述のゲームソフトは、最近ではWi-Fi接続に対応しており、飛行中の旅客機内以外なら、北海道庁、成田空港の出発ロビー、米軍基地、博多行き新幹線ひかり109号の車内、西鉄高速バスの車内、ロンドン地下鉄駅構内、近鉄藤井寺駅、中国大使館、全国の小中学校などどこでも対戦プレイが可能となった。 インターネット接続環境があれば、南レバノン、北アイルランド、アフガニスタン、チェチェン共和国、イスラエル、イラク、アメリカ、バリ島など海外のプレイヤーとの対戦も可能である。 対戦者募集方法[編集] 最近は主にインターネットの掲示板で対戦者を募集する者が多い。 ギルドに所属する者は、そこの主義主張や
表題の通りです。例によってVoluntasさんの記事「Erlangに興味を持った人へ」を参考にさせて頂きつつ、オライリーの「Erlangプログラミング」も見つつ、まとめてみます。 これはこの度EDocで作ったHTML形式のドキュメンテーションです。 ソースへのEDoc形式でのコメント記述 RubyだとRDocとかありますね。あれのErlang版です。各関数の直前に以下のような形式でコメントを書いておけば、ドキュメントとなるHTMLを自動的に生成してくれます。 注意:これは古い書き方です。最新のErlangでは、この下に書いた-spec(〜)に対応していますので、そちらが良いと思います。 >|erlang| %% %% @doc get message record. %% @spec get_message(int()) -> {ok, #message{}} | {error, not_
<<< 前ページ:「読み込み高速化、データ軽量化への挑戦。」 日本マイクロソフト株式会社でUXエバンジェリズムを担当する春日井良隆氏。今回のコンテンツ制作に至った背景、プロモーションの狙いについて語ってもらった。 ──今回、SVGというフォーマットを使用した真意は? 春日井●IE9がSVGをサポートして、SVGのレンダリングにGPUアクセラレーションが効くので、その機能をコンテンツとして見せたかった。Webで一般的に扱われる画像はJPEGかPNG、GIFなどの、いわゆるビットマップ画像です。それに対してSVGはベクターフォーマット。一般的には、地図や設計図のような精細な線画に使われていますが、スクリーンの大きさに関わらず滑らかな線画を見せられるのはベクターフォーマットならではの特性ですし、エンターテイメントでも使い道はあるはずだと思っていました。これで全ブラウザがSVGをサポートしたので、
これは書かねばなるまいということで。 購入した理由は割と消極的で、もともと外出中にしっかり使えるPCが欲しいなと思ってVAIO Z新モデルを検討していたものの、スペック積み上げて行くと20万を超えるという値段に尻込みしたタイミングでMacbook Airが登場。「VAIO買うお金でMacbook Air買って差分で他のもの買えるんじゃね?」と結論づけたタイミングで購入に至った次第です。 しかし冷静に考えるとiPhone 3Gも仕事とはいえ初日購入してたし、HT-03Aも発売日購入してたりするので、スマートフォン初号機は基本的に発売日購入がデフォルトなんだよね……。新しいもの好きの血はもう仕方ないということで。 購入も割と縁があったというか、ちょうどHT-03A購入時に追加したドコモ回線の契約が2年と1ヶ月というナイスタイミング。ドコモの2年縛りは2年と1カ月のタイミングであれば無料で解除で
Ubuntu Japanese Team代表の小林です。昨年の8月、夏休み特別企画として「夢の仰向けUbuntu生活」という記事を、今年の3月には春休み特別企画として「Ubuntu上で"俺の嫁"に踊ってもらおう!」という記事を寄稿させていただきました。いずれも、「不真面目な内容を真面目にやる」系のネタ記事です。そんな流れもあって、他のメンバーから「今年の夏休みも当然"特別企画"やるんですよね?」と言われてしまいました。 なにをやろうかずいぶん迷ったのですが、今回は「アスキーアートを似非3D化する方法」を紹介することにしました。きっかけは、6月ごろに話題になった週アスPLUSの「2Dなのに飛び出す! 3D環境ゼロでつくる3D写真のつくりかた」という記事の最後にある、アスキーアートを3DっぽくしたアニメーションGIFを見たことです。 「これならGIMPで似たものが作れるのでは?(GIMPのス
こんな短い電車、乗ったことがないです! I have never got on such a short train. http://henteko.net/ 詳細はわかりませんが、おそらく東急池上線だと思います。だってここは池上線の池上駅そばの踏切だし。どうかこれを見た鉄ヲタの人に「許しま線!」とおこられま線ように...。どうもすみま線。 See also 自販機多すぎ Too Many Vending Machines!! https://www.youtube.com/watch?v=Pfk1iwlF_oY 速すぎる電車 World's Fastest Train http://www.youtube.com/watch?v=aU4H1rBwm6w 高すぎるエレベーター World's Tallest Elevator http://www.youtube.com/watch?
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く