2008-07-14
浅学なので不正確の極みなのでしょうけれど…HTMLを作成することの原初的かつ本源的な意味合いって、まず最初にテキストありき、からスタートすべきだと思っています。 ここにテキストがある。適切な形式でweb上でパブリックにしたい。そのためにはマークアップが必要だし便利だ。というわけ。 マークアップするに先立って、マークアップに必要な記号と元のテキストの文の符号とがぶつかってはまずいので、プレ処理として「一種のエスケープ」が必ず必要。HTMLの世界では文字参照というやりかたでテキストを前処理しておき、マークアップに備えるということですよね。 だから、いわゆる「適切な文字参照でXSSを防ぎましょう」というのは、本当のところオカシナ話なんですよね。XSS以前に適切な文字参照は必要なのであって。なんとならば、テキストそのままではマークアップできないからで。 HTMLについて以上のような勘所を知っていれ
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
グッドラッパーって何? | 水無月ばけらのえび日記
セキュリティホールmemoで紹介されていて、後で読もうと思っていた「ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 (www.jumperz.net)」を読んでみました。 ……。 ……なぜでしょう、私の前提知識が不足しているからなのですかね。何度読み直しても全然頭に入ってこないのですが……。 結城浩さんの「バッドノウハウからグッドラッパーへ― 「奥が深い」システムの改善方法 ― (www.hyuki.com)」は、とても分かりやすく思いますが、それを読んでこちらに戻ってくると、ますます分からないという……。 理解できなかったところをいくつかメモしておきます。 そして、セキュリティ対策というバッドノウハウに対し、負担を軽くするラッパー(グッドラッパー)は既にいくつも存在している。以下にいくつか例を示す。 ・SQLインジェクションに対してバインドメカニズムを使用
ぼくはまちちゃん!(Hatena) - IPAたんからお礼が! - 葉っぱ日記
スルー力が完全に欠如してるので、マジレスしてみるてすと。 「窓口があれば、みつけた人が教えてくれる機会がふえる」のは、 「機会がふえるような窓口があれば」→「機会がふやせる」 ではなくって、 「窓口があれば」→「個別に窓口を探す手間が省けるので放置される可能性が減る」 だと個人的には思います。 1.めんどくさくするな もっとシンプルなものにしちゃおうよ! そのとおりだと思います。 ただ、この制度以前は脆弱性を見つけてしまった場合には、運営サイト内の連絡先を個別に探し(そういう窓口は用意されていないことのほうが多い)、運良く窓口が用意されていた場合には運営サイト等がそれぞれ定める書式に従って(従わなくてもいいんだろうけど)連絡をしてやらなければいけなかったわけで、それを思えば IPA による届出制度のおかげでかなり楽はできていると思います。 2. つたない内容でも良いから、知ってること教えて
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://d.hatena.ne.jp/kusamisusa/20070218/p1
