Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に
「あれ、この話題2年前に見た」 ネットデジャブに不安感を覚える
最近、はてブを見ていると昔見た話題を扱った記事がブクマ集めて人気エントリーに入ることがちらほらある。ユーザーが入れ替わったとか、twitterのRT効果とかいろいろ理由はあるのだろう。 直近ではGIGAZINEの「電線にとまる鳥の群れを五線譜に見立てて音楽を演奏」というエントリや、ギズモードの4kbのプログラミング作品ネタ。 どちらも去年、一度話題になっている。「なんで今更話題になるんだ」という疑問がもたげてくる。別に情弱、情強とかいう話ではなく、純粋な疑問というか。ネットメディアなら2chとはてブを見るのをルーティーンにしてるのが普通じゃないのか。「あれ、この話題去年見た」地獄のミサワが言いそうな台詞だが、ミサワの気持ちが少し分かる気がする。 で、「あれ、この話題以前見た」という記事を発見したとき、最初に見たのはいつだろう、と思ってグーグル検索で調べてみると、見事に新しいほうの記事しかな
デザインの要素と原則
2017年6月29日 Webデザイン 今回はデザインの基礎をお勉強しましょう!デザインは複数の要素(エレメント)と原則(プリンシプル)から成り立っています。それらを簡単に説明するとともに、要素と原則を生かしたWebサイトを一諸に紹介します。私は「デザインセンスは才能」とは考えていません。デザインセンスはそれらの要素をどう組み合わせるか、という閃きとその引き出しの多さによるものだと思います。ぜひ参考にしてみてください! ↑私が10年以上利用している会計ソフト! デザインの要素(エレメント)と原則(プリンシプル)は全てのビジュアルデザインの基礎と言われています。要素はデザインの「表現手段」を形成し、原則は「構造的特徴」を構成します。デザインにおける要素と原則の認識は、視覚構成をすることにおいての最初のステップ。Webデザイン、グラフィックデザイン、プロダクトデザインなど、すべてのビジュアルデザ
昨日騒ぎになったTwitterのXSS脆弱性によって実際に受けそうな被害とその対策 - monjudoh’s diary
何が出来るのか どんな脆弱性かの詳細はこちらを参照2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について 外部JavaScriptを読み込むコードを仕込めたので、 どんなJavaScriptでも実行できる状態でした。 以下、JavaScriptの実行によってTwitter上で出来る事。 セッションハイジャック JavaScriptからcookieを参照できるのでログイン状態のセッションIDも参照できます。 また、任意のJavaScriptが実行できる以上、参照したセッションIDを攻撃者のサーバ等に送信することも出来ます。 攻撃者は奪ったセッションIDをcookieに設定すれば、被害者のアカウントでtweet,direct messageの閲覧・送信が出来ます。 確認してみたところ、ログイン状態のセッションIDはログアウトしても無効にはなりません。 設定→パスワードからパスワ
第3回 なぜ日本のソフトウェアが世界で通用しないのか | gihyo.jp
日米で異なるソフトウェアの作り方 私がシアトルに来たのは1989年なので、こちらに来てもう20年以上になる。最初の10年をMicrosoftのソフトウェアエンジニアとして過ごし、後半の10年は起業家としてソフトウェアベンチャーを3つほど立ち上げている。こうやって1年の大半を米国西海岸で過ごしながらも、日本には毎年数回仕事で帰国しているし、日本語でブログや記事を書いてもいて、ある意味で「日本のソフトウェアビジネスを、一歩離れてちょうどよい距離で見る」ことができる立場にいる。 そんな私が常々感じているのは、日本でのソフトウェアの作り方が米国のそれと大きく違っていること。そして、日本のソフトウェアエンジニアの境遇が悪すぎること―そして、それが「日本のソフトウェアが世界で通用しない」一番の原因になっていることである。 そもそもの成り立ちが違う日米のソフトウェア業界 日米のソフトウェアの「作り方」の
尖閣諸島沖での日中対立について - リアリズムと防衛を学ぶ
尖閣諸島沖での中国漁船と海保巡視船の衝突事件について、遅まきながら見解をまとめておきます。 この事件は単なる衝突事件にとどまらず、事件の背景となっている尖閣諸島の領有権をめぐる日中対立につながっています。 今回のいきがかり上、中国は強硬な態度をとっています。日本側に譲歩を迫るとともに、領土問題の存在を国際社会にアピールしたい考えです。日本側はアメリカをはじめ国際社会を巻き込みながら、押し負けないことが必要でしょう。 下手な譲歩の仕方をすると、円満に収まるどころか、漁船の次は漁業監視船、島への上陸と次々押されてしまうことが目に見えています。なぜなら漁船の違法操業からスタートして徐々に実効支配を進めるのは、南シナ海でも行われている中国の常套手段だからです。 事件はどのように起こったか? ざっくりしたあらまし 顔を潰された中国政府 証拠のビデオがでても揉め事は終わらない 海保の数では手に負えない
ある程度の年齢を迎えたプログラマが抱える悩み - bkブログ
ある程度の年齢を迎えたプログラマが抱える悩み ある程度の年齢を迎えたプログラマが抱える悩みに、「若手のプログラマと比べて、どうやって価値を出していくか」という問題があります。これは言い換えれば「同じような生産性であれば、相対的に給料の低い若手のプログラマに置き換えられてしまうのではないか」という悩みです。 この問題のひとつの解決策は、プログラマ以外の仕事のポジション(たとえば管理職など)に移ることですが、他のポジションには向いていない、まだまだ現役でプログラマをやりたいという場合にどんな戦略があるか考えてみました。なお、後述するように、以下に挙げた戦略は相反するものではなく、組み合わせが可能です。 エキスパート戦略 この分野ではトップクラス、というレベルの専門性を身につけ、その分野に特化してキャリアを築くという戦略です。たとえば、ネットワークやセキュリティといった分野で一流と認められる専門
asahi.com(朝日新聞社):最高検、主任検事を証拠隠滅容疑で逮捕へ 郵便不正事件 - 社会
郵便割引制度を悪用した偽の証明書発行事件をめぐり、押収品のフロッピーディスク(FD)のデータを改ざんしたとして、最高検は21日夜、大阪地検特捜部でこの事件の主任検事を務めた前田恒彦容疑者(43)を、証拠隠滅の容疑で逮捕する方針を固めた。 朝日新聞が21日朝刊で疑惑を報じたことから、最高検が捜査に乗り出していた。 朝日新聞が入手した特捜部の捜査報告書などによると、FDは昨年5月、厚生労働省元局長の村木厚子氏(54)=一審・無罪判決=の元部下の上村(かみむら)勉被告(41)=虚偽有印公文書作成・同行使罪で公判中=の自宅から押収された。自称障害者団体が同制度の適用を受けるため、上村被告が2004年6月に発行したとされる偽の証明書の作成日時データなどが入っていた。 特捜部は証明書の文書の最終更新日時を「04年6月1日午前1時20分06秒」とする捜査報告書を作成。FDは押収の約2カ月後にあたる
できた! 政治主導で規制改革:日経ビジネスオンライン
民主党代表選の直前、菅直人首相は緊急経済対策を閣議決定した。100項目の規制改革案は、わずか10日で調整したもの。政治主導は尻に火がつかなければ実現しない。この現実が浮き彫りになった。 9月3日午前11時の霞が関。総務省の副大臣室で、大塚耕平・内閣府副大臣と内藤正光・総務副大臣は、30分間の会談の後、固い握手を交わした。これまで長らく“塩漬け”にしてきた「電波オークション」を、ついに日本で実施する方針が固まった瞬間だ。 電波オークションとは、携帯電話や放送に利用する電波を、オークション(入札)形式で事業者に配分する手法のこと。よりコスト効率が高く、優れたビジネスモデルを持つ事業者に電波を配分できるメリットがある。運用次第では、50兆円以上が政府の懐に入るとも言われる。既に欧州やアジアなど20カ国以上で導入済みだ。 わずか10日で閣議決定へ ところが日本では、電波オークション実施に向けた具体
チケットとカスタムクエリの日付表示フォーマットを変える - almost nearly dead
TracLightningの0.12対応も進みつつありますが0.11系の話題です。 先日のOSC2010/Tokyoで尋ねられたことなのですが、Trac のチケットやカスタムクエリで表示される登録日や更新日は今ひとつ優しくありません。 チケットの登録/更新日 チケットのコメント カスタムクエリ 何ヶ月前とか何分前とか表示されても、ちっとも嬉しくありません。 マウスカーソルをリンクに当てると年月日の表示も見られますが、極めて直感的ではないと言えます。 そこでTracのテンプレートを修正して、直感的な日時の表示にしちゃいましょう。 手を入れる対象のテンプレートは2つで、TracLightning2.5.xの場合は、 %TRAC_LIGHT_HOME%python\Lib\site-packages\Trac-0.11.7.ja1-py2.5.egg\trac\ticket\templates以
1ch.tvという、9年前のあの出来事に対して振り返ってみる - ロケスタ社長日記 @kensuu
1ch.tvという出来事 せっかくなので、9年前のあの「1ch.tv」という掲示板にまつわる出来事に関して書いてみようかなあ、と思った。 今まで沈黙を保っていたわけでもないし、言えない話しでもなかったのだけど、どこかにそれについて書くのはなんとなく避けていた。というのも何をいっても「けんすうは嘘つきだ」ということを言われる状況だったし、本気で脅迫めいたことを言ってくる人も多々いたので、面倒だったというのはある。別に恐怖は感じ無いんだけど気味が悪いしねぇ。 といいつつ、1ch.tvももうアクセスできない状態だし、そろそろ語ることもあるんじゃないかと思って書いてみる。あれからもう9年も経ってしまった。当時、インターネットにいた人たちも見かけなくなってしまっている中、まだ僕がインターネットで、同じようなことをしているというのも不思議だけども。 1ch.tvというメディア さて、あれはた
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてなブログ | 無料ブログを作成しよう