タグ

ブックマーク / bakera.jp (4)

  • H18年度ウェブアプリケーション開発者向けセキュリティ実装講座 | 水無月ばけらのえび日記

    【講演1】 脆弱性の届出情報の深刻度評価についてCVSS のお話。「IPA が受付けた脆弱性をCVSSを用いて分析した結果を紹介します」ということで、具体的にこんな事例がこうなった、という話を期待していたのですが……。残念ながら統計データだけで、具体的な事例は出ませんでした。 もっとも、それは私の期待が大きすぎただけで、話としては普通に面白かったと思います。 【講演2】 安全なWebアプリケーションの作り方(番外編)極楽せきゅあ日記 (d.hatena.ne.jp)などで有名な園田さんの講演。中心はフレームワークのお話で、あとは書籍の脆弱性のお話など。 書籍の話ですが、個人が批判する分には問題ないと思うものの、何をもって誤りとするのかが難しいですね。「のけぞる!」なんてコンテンツがありますが、これは HTML の仕様に照らして間違いだと言っているので、間違いだと断じるだけの論拠があります

    mhrs
    mhrs 2007/02/05
    「だいたい、XSS なんてのは「何が起きても常に valid な HTML を出力する」という誇りがありさえすれば、それだけで 9割方回避できるのです。」
  • SGML の短縮タグ機構 | 鳩丸よもやま話

    SGML には短縮タグ機構と呼ばれる仕組みがあって、タグを書くときにいろいろな省略をすることが許されています。ただし、それには「SGML宣言」の FEATURES - MINIMIZE の項目で SHORTTAG YES と指定されていることが条件となります。HTML でも SHORTTAG YES となっていますから、短縮タグ機構を利用することができます。 ※ただし HTML+ では SHORTTAG NO です。また XHTML は XML のルールに従いますので、SHORTTAG NO と同じ扱いです。これらでは、以下の省略記法は全く使うことができません。 引用符の省略特定の条件を満たしている場合、属性値の引用符は省略することができます (厳密な言い方をすると、「属性値表記」の代わりに「属性値」をそのまま使用できます)。その条件とは、属性値が「名前字句(name token)」である

    mhrs
    mhrs 2006/06/21
  • 文書型宣言の読み方 | 鳩丸よもやま話

    HTMLの骨組みと文書型宣言まず、HTMLの骨組みについておさらいしてみましょう。HTML 4.01 で書かれたシンプルな HTML文書は以下のようになります。 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/REC-html40/strict.dtd"> <HTML> <HEAD> <TITLE>ここにタイトルを書きます。</TITLE> </HEAD> <BODY> <P>ここに文を書きます。</P> </BODY> </HTML>

  • RFC2854 | 鳩丸ぐろっさり (用語集)

    mhrs
    mhrs 2006/06/18
  • 1