「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」フラゲ | 水無月ばけらのえび日記
公開: 2018年6月17日21時45分頃 通称「徳丸本」の第2版、「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 (www.amazon.co.jp)」が21日発売になります。初版に引き続き、今回もレビュー協力させていただきましたので、早めに一冊いただくことができました。ありがとうございます。 手に取ってみてまず驚くのがその厚さ。最初の版が478ページでそれなりに厚かったのですが、第2版はなんと688ページの大ボリュームで大変に厚くなっております。 携帯電話用サイトの話などがばっさりカットされたにもかかわらず、なぜか大幅にボリュームが増えているというのは不思議ではあります。JavaScript関連の記述が増えたり、現在の状況に合わせて書き直したりした部分が、かなりのボリュームだったということなのでしょう。著者の徳丸さんにはあらためて敬意を表
不正データによる終了時のステータスコードで悩む | 水無月ばけらのえび日記
「なぜPHPアプリにセキュリティホールが多いのか?【スクリプトインジェクション対策07】予期しないエラーが発生した場合,プログラムの実行を停止する (gihyo.jp)」。 「プログラムの実行を停止」というのは表現がおかしいと思いますが、要は処理を続行せずにエラー終了すべきということですね。 しかしこういうときに悩むのが、「どういうステータスコードで応答したら良いのか」ということ。普通に考えると500系のレスポンスになると思うのですが、501 (Not Implemented) では変ですし、503 (Service Unavailable) だと一定期間後に復活しそうに見えますし、他に使えそうなコードはないし……。というわけで、まあ素直に500 (Internal Server Error) で良いかなぁ……と思うわけですが。 ところがついこの前、とある案件にて、セキュリティ屋さんから「
「ケータイキット for Movable Type」のOSコマンドインジェクションの修正 | 水無月ばけらのえび日記
更新: 2016年4月27日11時5分頃 Movable Typeのプラグイン「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性があったという話が出ており、J-WAVEの64万件の個人情報流出はこれが原因だったとされています。 J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を (itpro.nikkeibp.co.jp)「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 (internet.watch.impress.co.jp)ケータイキット for Movable Type の脆弱性についてまとめてみた (d.hatena.ne.jp)配布元のアイデアマンズからは、4月22日にまず「緊急パッチファイ
デザイニングWebアクセシビリティ 発売 | 水無月ばけらのえび日記
公開: 2015年7月26日20時40分頃 お待たせしました、と言うべきなのでしょうか。当初は昨年の発売予定だった「デザイニングWebアクセシビリティ」、ようやくお届けできることになりました。 デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチ (www.amazon.co.jp)Webアクセシビリティの本なのですが、WCAGやJIS X 8341-3などのガイドラインの解説ではなく、制作プロセスの中で実際にどのように取り組んでいくのかという点に主眼を置いています。 これ一冊あれば、アクセシブルなサイトを作るのにまあ困らないだろう、という内容にしたつもりです。アクセシビリティに取り組みたいのだけれど、何をしたら良いのか分からない……という時の一冊としてお勧めできる本になっていると思います。 Amazonでは27日発売となっていますが、既に書店には並んでい
コーディングWebアクセシビリティ 監訳しました | 水無月ばけらのえび日記
公開: 2015年3月20日14時30分頃 私が監訳として関わった「コーディングWebアクセシビリティ」という本が来週発売になります。 コーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWeb (www.amazon.co.jp)WAI-ARIAの入門的なところを紹介する内容で、固い技術書というよりは、気軽に読める読み物という感じの体裁です。コードサンプルも載っていますが、テクニックの紹介というよりは基本的な考え方の説明というところに近いです。HTMLは一通り書けて、WAI-ARIAは勉強してみたいけれど、どうしたら良いのかよく分からない……という方の最初の一歩としておすすめです。 本文や図版には、全体的にジョークがちりばめられています。ちょっとファンシーな感じの部分も、原著の雰囲気を生かす方向にしているので、読者によっては違和感を覚えるかもしれませんが
X-Frame-Optionsはあまり普及していないらしい | 水無月ばけらのえび日記
公開: 2013年9月23日19時30分頃 こんな話が……「IPAテクニカルウォッチ 知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート (www.ipa.go.jp)」。 「ログイン機能を持ちウェブサイト上でユーザ情報の変更等ができるウェブサイト56件を抽出し調査」したところ、X-Frame-Optionsが使われているのはわずか3サイトだけだったというお話のようで。 X-Frame-Optionsを使うという対策自体、個人的にはあまりしっくり来ないのですが、現状では他にあまり良い対策がないので仕方のないところではあります。CSPが普及してくればまた違ってくるのだろうと思いますが。 「X-Frame-Optionsはあまり普及していないらしい」にコメントを書く関連する話題: Web / セキュリティ
東証上場企業の「公開ディレクトリー」運用アンケート | 水無月ばけらのえび日記
公開: 2013年9月23日11時0分頃 「東証が上場企業Webサイトの運用体制を調査、未公開情報の管理徹底を求める (itpro.nikkeibp.co.jp)」。 実際にアンケートが回ってきていて、スルーパスで弊社にきているものもあるのですが、動的タイプのCMSを使っている場合は「公開ディレクトリー」という概念がなくて答えづらいという罠が。 まあ、全てをCMSのDBで管理している場合は問題ないという判断で良いと思うのですが。製品によっては、CMSの管理画面から投入しても公開ディレクトリに置かれる場合があるので、CMSを使っていればOKというわけでもありません。その点は注意が必要ですね。 「東証上場企業の「公開ディレクトリー」運用アンケート」にコメントを書く関連する話題: セキュリティ
個人を特定できないつもりでも…… | 水無月ばけらのえび日記
公開: 2013年9月22日11時0分頃 こんなお話が……「オレオレ匿名化が良貨を駆逐する (takagi-hiromitsu.jp)」。 「徒歩ログマップ」の歩行経路の情報を見ると、小数の人が歩いた経路が表示されることがあり、特定個人の行動が特定できてしまう場合があるというお話。住所の情報は出ていませんが、この経路の支点となっているポイントは高確率でその人の住所だと考えられます。 プライバシー情報を含むデータから住所や氏名を取り除いても、それだけでは個人を特定できなくなるとは限らないということです。 「個人が*3識別できない態様に加工・編集等の処理を行ったうえで」というけれども、どのような意味で「識別できない」と言っているのか不明であるし、どのような方法でどの程度のレベルで「識別できない態様に加工・編集等の処理」を行うのか不明である。 前記の実例からして、「識別できない態様に加工・編集等
複数デザイン案と捨て案 | 水無月ばけらのえび日記
3案とありますが、なぜ2案や4案ではなく3案なのでしょうか。3という数字に根拠はあるのでしょうか。 また、その中からIPAが1案を選定するということですが、いったいどうやって選定するのでしょうか。 これがコンペで、3者に提案させて1者に絞るというなら分かります。3者はそれぞれ異なる視点、異なるコンセプトで提案するでしょうから、最もマッチすると思った提案を選べば良いのです。 しかし、1者に3案を作成させてもあまり意味がありません。受ける方は3案を等しく作るのではなく、ほとんどの時間を1案に費やし、平行して「捨て案」を2つ作るという対応をします。 これは別に手抜きではなく、以下のような事情があります。 ひとつのコンセプトからは、1人が考える最適なデザイン案は1つに収束する。コンセプトが全く異なる案を作るには、戦略 (コンセプト設計) の部分からやりなおさなければならない。デザインはスタディに時
パスワードがmaxlengthを超えてもユーザーは気づかない | 水無月ばけらのえび日記
公開: 2013年3月11日11時25分頃 三菱UFJニコスから、「パスワードの入力桁数に関するご案内」というPDF文書が出ています。 パスワードの入力桁数に関するご案内 (www.cr.mufg.jp)「三菱UFJニコス」という名前の通り、複数の会社が合併し、サービスも統合されたわけですね。従来はログインフォームが別々で、パスワードの長さもまちまちだったものを、ひとつのログインフォームに統合……したところ、ログインできなくなる人が現れたという話のようで。 原因は以下のように説明されています。 ①リニューアル前のMUFGカード(UFJカード含む)、DCカード、NICOSカードのWEBサービスの(ID登録及び)ログインの際、パスワードは下記「パスワード規定桁数」を超えて入力することができませんでした。 ②リニューアル後のNEWS+PLUSログインページでは、弊社のどのブランドWEBサービスに
JavaScript勉強会 三回目 | 水無月ばけらのえび日記
公開: 2012年8月2日0時25分頃 「ツッコミながらスクラムで学ぶ JavaScript勉強会」第三回が開催されました。今回の範囲は、「よくわかるJavaScriptの教科書 (www.amazon.co.jp)」のLecture1-3~1-6の部分。 事前に第三回目の課題を出していたので、各人の課題を見ながら進行。 課題 3-1: 前回の振り返りと感想前回を振り返っていろいろと。他人の書いた変態的なプログラムが参考になったとか、ツッコミが参考になったとかいろいろ。 課題 3-2: 前回の応用前回の応用的なスクリプトを書く課題。 どのタイミングでキャンセルしてもキャンセル時のメッセージは同じなのですが、それを一箇所に書くようにした人、ばらばらに書いた人など。 課題 3-3: 目覚まし時計の問題これはテキストの練習問題そのままなのですが、まず、仕様をどう読み解くかで分かれました。これは目
JavaScript勉強会 二回目の課題 | 水無月ばけらのえび日記
公開: 2012年7月22日18時45分頃 「ツッコミながらスクラムで学ぶ JavaScript勉強会」、第二回目の課題が発表となりました。 課題 2-1: 前回の振り返りと感想 (基本課題)7月6日の勉強会の内容を振り返って、簡単に感想を書いてください。当日参加できなかった方は、ほかの人が提出した課題を見て、それについての感想を書いてください。内容は自由としますが、以下のような内容を含めることを推奨します。 勉強会で身についたこと印象に残ったこと長く書く必要はありませんが、議論したいポイントがあれば、突っ込んだ質問などを書いていただいてもOKです。 課題 2-2: JavaScript 最初の一歩 (基本課題)テキスト45ページの下部にある練習問題をやってみましょう。49ページに解答例が掲載されていますが、解答例は見ないでトライしてみてください。よく分からない場合、テキストの35~45ペ
JavaScript勉強会の課題決定 | 水無月ばけらのえび日記
公開: 2012年7月16日16時25分頃 先週、JavaScriptの本を選定したわけですが、実際に勉強会の概要を決めて、参加者に課題を出しました。 案内をほぼそのまま掲載するとこんな感じ。 基本的なルール毎週金曜日の朝9時に開催します。第一回目は7月6日です。テキストとして、「よくわかるJavaScriptの教科書 (www.amazon.co.jp)」(たにぐち まこと著) を使用します。毎回、課題を出します。課題は、翌週水曜日の23:59までに提出してください (提出方法は後述の「課題」の項を参照)。木曜日の間に内容をチェックし、金曜朝の勉強会でレビューします。とりあえずやってみて、やりながらやり方を調整していきます。この基本ルールも随時修正される可能性があります。※ スクラムとは? : マンガ「ドラゴン桜」に登場する「スクラム勉強法」にちなんだ名前です。 ドラゴン桜では主人公の桜
JavaScript勉強会の本を検討する | 水無月ばけらのえび日記
公開: 2012年7月14日17時5分頃 社内でJavaScriptの勉強会をやりたいという話が出てきたので、テキストをいろいろ検討。要件としてはこんな感じです。 週一で開催する予定参加者には営業やプロジェクトマネージャーなど、技術的な知識があまりない人も含まれる以前にHead First JavaScript (www.amazon.co.jp)を使って勉強会をやったことがあるらしいが、「バタ臭い」という評判だったらしいテキストの候補として挙げられたのは以下の4冊。 マンガでわかるJavaScript (www.amazon.co.jp)よくわかるJavaScriptの教科書 (www.amazon.co.jp)10日でおぼえるJavaScript入門教室 (www.amazon.co.jp)Head First JavaScript (www.amazon.co.jp)それぞれを見て評
OWASP Japan 2nd Local Chapter Meeting | 水無月ばけらのえび日記
公開: 2012年7月14日3時0分頃 OWASP Japanの2度目のLocal Chapter Meetingが開催されました……「OWASP Japan 2nd Local Chapter Meeting (www.owasp.org)」。 今回は楽天タワーが会場。楽天がセミナーをやるときのいつもの場所ですが、広い会場の一部だけを使用するような形。それでも200人以上は入っていたようですが。 雑多なメモをだらだらと。後半になるに従ってメモが雑になるのは仕様です。 Short talk of XSS – 短いXSSの話はせがわさんのお話。 とあるMSのサイトにあったXSS脆弱性、エラー表示をエスケープしていないので突破できるのですが、入力できるデータの長さが制限されているという。いかに短い文字数で任意のスクリプトを実行することができるか、というのが今回のお話。 Netscape4限定の
「文字はShift+JISで入力してください」 | 水無月ばけらのえび日記
公開: 2012年6月24日23時50分頃 武雄市の図書館が話題になったりしていて、ハッシュタグ #takeolibrary をたまに見たりしているのですが、keikumaさんがこんなツイートをされていました。 市長「今の検索システムは江戸時代末期のシステムです」 00:33:40 へぇ、と思って実際にサイトを見てみると……。 武雄市図書館・歴史資料館 (www.epochal.city.takeo.lg.jp)見た瞬間に呼吸が止まるほどの衝撃を受けました。 いきなりframeで、noframes要素の中身は「このページを表示するには、フレームをサポートしているブラウザが必要です」。 ないわー、江戸時代でもこれはないわー、などと思いつつ「本をさがす」のページを見てみるわけです。リンク先のURLはHTTPSなのに、HTTPSでないフレームの中に展開されて軽く驚きますが、ともあれ、実体は以下に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2013年版 10大脅威公開 | 水無月ばけらのえび日記
認証太郎公式サイト
JavaScript勉強会 二回目 | 水無月ばけらのえび日記
JavaScript勉強会 一回目 | 水無月ばけらのえび日記