批判するだけでなく読者に有益な情報を提供すること十分な検証など批判に根拠をもたせること読んで面白い記事にすること必ず一晩以上寝かせてから公開することってな感じでやっていますが、中々難しいですね。最近は数日寝かせる場合も多いです
批判記事を書く場合のガイドライン
批判するだけでなく読者に有益な情報を提供すること十分な検証など批判に根拠をもたせること読んで面白い記事にすること必ず一晩以上寝かせてから公開することってな感じでやっていますが、中々難しいですね。最近は数日寝かせる場合も多いです
paradigm shift: もしセキュリティ知識がないに等しいど素人が徳丸本を読んだら。
2011年8月24日水曜日 もしセキュリティ知識がないに等しいど素人が徳丸本を読んだら。 徳丸大先生が他の方の本をディス(公開処刑)ってらっしゃったので 私も徳丸本を読んで指摘したい箇所があります。 「安全なWebアプリケーションの作り方」の24ページで 実習環境のアカウントリストが載っているんですが、 全てのパスワードがwasbookです。 さらっと流し読みしただけですが、全てのパスワードを 同一にすることによる注意書きはなかったように見受けられます。 あったらごめんなさい。 実習環境でいちいち違うパスワードなんてめんどくさいから だからといえばそれまでですが、それこそ気をつけて欲しいなと 思います。 まあ、仮にもセキュリティを説く御大ですからね。 他人の本をディスってる暇があるのなら、自分の本を もっと磨いて欲しいなと思います。 投稿者 mikan 時刻:
PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)~JSON等の想定外読み出しによる攻撃~ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。 まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(同書P20の図1-23)。 前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成(エンコード)に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。 しかし、問題はこれだけではありません。正常
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
