携帯電話のリファラー(2) - teracc’s blog
多くの携帯サイトでは、GETパラメータでセッションIDの引き回しをしているようです。そのようなサイトでは、ユーザが外部サイトへのリンクを踏んだ際に、リファラーからセッションIDが外部サイトに漏れてしまう問題が指摘されています。 今日はこの問題について、思いつくことをいくつか書きます。 セッションIDの変更 奇妙に思われるかもしれませんが、単純にセッションIDを毎回変更することは、上記の問題を解決してくれます(ただし、後述するように副作用があります)。 例えば、http://www.example.com/a.cgi?SESSION=11111 にリクエストが来た場合、サーバ側ではセッションIDを変更し(ここでは22222に変更するとします)、以下のレスポンスを返すとします。 ■リクエスト GET http://www.example.com/a.cgi?SESSION=11111 HTTP
リファラ実験 - referrer test
Updated: 2005-05-22 03:54:29+0900 [Home] 直にリンク 直にリンク リファラ表示ページに直にリンクします。 Firefox 1.0.4 …… リファラはこのページになる。 Opera 8.0 …… リファラはこのページになる。 IE 6 …… リファラはこのページになる。 NS 7 …… リファラはこのページになる。 Opera 7 …… リファラはこのページになる。 Lynx 2.8(cygwin) …… リファラはこのページになる。 w3m 0.1.9(cygwin) …… リファラはこのページになる。 HTTPヘッダのLocationを使用する Locationヘッダ HTTPヘッダでLocationを使用します。 header("Location: http://www.teria.com/~koseki/memo/referrer/view.
おかしなHTMLエスケープ - teracc’s blog
PHPでのプログラミングを取り上げたサイトで、少々おかしなコードを見つけた。 調べてみると、他にも同じような書き方をしているサイトをいくつか見つけたので、日記のネタにしてみようかと思う。 そのコードは、以下のようなもの(表示の都合で折り返している)。 <a href="foo.php?SESS=<?= htmlspecialchars($sid) ?>">次へ</a> $sidはセッションIDで、これをHTMLエスケープしてアンカーURLの後ろにくっつけている。リンクを辿った際に、セッションIDが次ページに引き継がれるようにするためだ。 ちなみにPHPでは、クライアントが送ってきたセッションID(GET/POST/COOKIE問わず)が、サーバ側で管理しているセッションIDの一覧の中に無い場合、送られてきたセッションIDでセッションを開始するというという動作をする*1。そのため、セッション
今更ながらmagic_quotes_gpcの欠点 - teracc’s blog
今更ながらですが、PHPのmagic_quotes_gpcをOnにすべきでない理由を整理してみます。 世の中には、magic_quotes_gpcはOffにすべき、と書いた文章は多数あるのですが、その理由を(私が見る限りで)十分に説明しているものは無いからです。 以下では、 1. 対象外の変数の存在 2. 弊害(副作用) 3. エスケープの不完全さ という三つの観点から記述します。 対象外の変数の存在 magic_quotes_gpcの、「gpc」はGET/POST/COOKIEを表しています。つまり、この3種類のリソースからの入力はエスケープされますが、それ以外は原則エスケープされません。 エスケープされているもの、されていないものを、以下にまとめてみます。 エスケープ済み ・$REQUEST $_GET・$_POST・$_COOKIE 場合によってエスケープ済み ・$_SESSION(
ニコニコ動画の特許、成立していた | スラド IT
一年ほど前に、栗原潔氏のブログでニコニコ動画の特許出願という話題が出ていました。その後、情報が絶えていましたが、登録が今年の 2 月、発行が先月 13 日付けで特許 4263218 として登録されていたようです。内容は、特許電子図書館の特許・実用新案公報 DBで、文献種別 "B"、文献番号 "4263218" で文献番号紹介すれば出てきます。 特許文章は難しすぎて請求項の範囲が良く理解できていないのですが、動画にコメントを載せて再生するという基本部分を押さえているようにも、構成に余計な条件が付きすぎているようにも見えます。権利範囲については識者の分析をお待ちしています。 なお、[経過情報]→[出願情報] を見ると、審査官による大量の引用調査データが付き、拒絶理由通知も 2 回出ているようです。最終的に登録査定になったとはいえ、日本の特許庁はちゃんと仕事をしてくれてるんだなぁ、とちょっぴり安
ネットサービスにお金を払ってもらうには mixiやpixiv、はてなの“手の内”
ネットサービスにお金を払ってもらうには mixiやpixiv、はてなの“手の内”:マネタイズHacks 不況の中で、ネットサービスの収益環境が悪化している。「ページビューさえあれば広告が入り、収益になる」という時代が終わりを告げつつある中、どう稼げばいいか――6月24日に開かれたイベント「第3回 マネタイズHacks」にピクシブやミクシィ、ライブドア、はてななどが集まり、自社サービスのマネタイズや有料課金サービスの状況について話した。 「景気低迷で広告出稿が鈍化している。新しい収益の柱が必要」と、Yahoo!JAPAN研究所の柿原正郎さんは述べる。「客が何を求めているのか、何をしたいのかとらえた上で、継続的に使ってもらえる課金のプラットフォームを設計することが重要だ」(柿原さん) ブログ課金をさらに一歩 ライブドアの場合 広告以外のマネタイズの手法として第一に思いつくのが、月額制などの課金
古いブラウザでもCSS3セレクタを使ってWebページをデザインできるようにしてみた - latest log
uuCSSBoost.js は uuAltCSS.js に名前が変更になりましたが、一部の説明が記事を書いた当時の古い名前のままになっています。最新版では、uuCSSBoost.revalidate() は廃止され uuAltCSS() を呼び出すように変更になっています。 コードの解説を追記しました。 「最新の規格を実装したブラウザが登場しても、IE6 のせいで諦めるしかないのか」 「CSS3セレクタを古いブラウザでも使いたい!」 といった現場の声にお応えして、ほぼ全てのブラウザで CSS3 セレクタを利用したページデザインが可能になるJavaScript ライブラリを作ってみました。 特徴 軽いよ いろんなブラウザで動くよ(Firefox2+, Opera9.2x+, Safari3+, IE6+, Google Chrome1+) 95%〜98%ぐらいのシェアをカバーできるんじゃない
簡単に、エクセルの作業効率をアップする15のTips | コリス
エクセルの設定をカスタマイズして、作業効率をアップする15のTipsをChandoo.orgから紹介します。 15 MS Excel Tips to Make you a Productivity Guru 各Tipsの表記は、当方のエクセル2003に準じています。 会社時代、納品したエクセルのプロパティに変な名前があってナミダモノでした。14番のTipsを知ってれば、全員に設定したのになぁ。 入力後のセルの移動方向を変更 新規ファイルのシート数を変更 デフォルトのフォントを変更 カスタマイズしたリストでオートフィル 使用できる色を増やす 数値の桁区切りの記号を変更 数式のエラーを非表示 自動修正に用語を登録 常にすべてのメニューを表示 画像を圧縮し、ファイル容量を軽減 自動計算で時間がかかるのを解除 テンプレートを設定 オフィス間でグラフをコピペ ファイルから個人の名前などを取り除く メ
illustratorでどんなフォントもスケッチフォントに変える方法 – creamu
vectipsで、クールなTipsが紹介されています。illustratorでどんなフォントもスケッチフォントに変える方法ですね。 ↑みたいなフォントが作れます。 1. テキストツールでテキストを入力 2. 塗りと線をなしにする 3. アピアランスパネルで、新規塗りを追加 黒を選択 4. 効果 > スタイライズ > 落書き で以下のように設定 5. 2ptの黒で線を追加 6. 線を選択した状態で 効果 > パスの変形 > ラフ で以下のように設定 以上ですね。 さらに、1クリックでこの効果が適用できるように、グラフィックスタイルパネルで新規グラフィックスタイル登録しておけば、1発で効果を適用できますね。 詳しくは以下からどうぞ。 » Turn Any Font Into a Sketch Font MacのDockを自動的に隠す設定にしてウィンドウが広くなりました☆表示するの好きだったんだ
IE8のXSSフィルタが裏目に出る例 - 2009-06-22 - T.Teradaの日記
IE8のXSSフィルタは、WebアプリにXSS脆弱性があったとしても、それが発動する可能性を減らしてくれるものです。 しかし、そのXSSフィルタが裏目に出るようなこともあります。 例えば、以下のような静的なHTMLファイル(test.html)を作ってWebサーバにおきます。 <h3>ie8 test</h3> <!-- 1 --> <script> var u=document.URL; </script> <!-- 2 --> <script> u=u.replace(/&/g,'&').replace(/</g,'<'); </script> <!-- 3 --> <script> document.write('URL:'+u); </script> 上のページは静的なページで、DOM Based XSSの脆弱性もありません。ですが、被害者のユーザがIE8を使っている
WinXP消してもいいファイルまとめ
このサイトについて 当サイトはWindows XPの不要なサービスの削除、不要なファイルの削除といった情報をまとめています。といっても、ただ単に削除してもいい(と思われる)ファイルをコンポーネントごとに整理し、まとめただけのものです。削除したら削除したで動かないアプリ等も出てくるでしょうし、Windows上で何らかの不具合をきたすこともあると思います。あくまで参考として、実際の削除においては自己責任でお願いします。 また、Windows XPの軽量化という話になると何かと取り上げられることの多い、nLiteについても若干書いています。こちらは主にnLiteで削除されるファイルの内容についての検証、追加で削除できるファイルについての考察などがメインです。 当サイトは不要ファイルを削除してディスクの空き容量を確保するだとか、レジストリを弄って高速化・軽量化を図るといった類の趣旨で作られ
Gmailの機能を拡張して、もっと便利にする38のTips
Gmail: Google's approach to email TipsはWhite belt, Green belt, Blask belt, Gmail Masterの4つに分けられており、最後にそれ以外の便利な機能を紹介します。 白帯クラス White belt 1. スターを使用 スターは、重要なメールにつけると便利です。また、必ず返信する必要があるメールにつけるのもよいでしょう。 2. チャットで返信 メールで返信する前に、相手がオンラインか確認し、チャットで返信するとよりリアルタイムに返信でき、時間を短縮することができます。 3. ラベルでメールを整理 メッセージにラベルを設定し、メールを整理します。 カラフルなラベルを使用するには、Labsの「ラベルの色をカスタマイズ」をオンにします。 Labs 4. 受信トレイは「移動」でお掃除 受信トレイのメールは、「移動」を使って簡
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IT 勉強会カレンダー