rryuのブックマーク / 2014年4月23日 - はてなブックマーク

rryu id:rryu

2014年4月23日のブックマーク (5件)

YDN「広告配信先レポート」が「firestorage.jp」のダウンロードリンク晒して炎上案件か？
これらの「配信先URL」にアクセスしてみると。ああこれはダメなやつだ。 firestorageユーザーがアップロードしたファイルの「ダウンロードリンク」が、YDNの「広告配信先レポート」でモロバレです。ダウンロードURLは40桁の英数字にて暗号化されていますので、アップロードされた方が他の方にお知らせしない限り、URLが知られることはありません。いや漏れてるから。ダウンロードページにリスティング広告を掲載するfirestorage側の注意不足でもあり、情報漏洩に直結しそうなURL情報をレポートで公開するヤフー側の不手際でもあり、さらにはオンラインストレージをパスワード設定無しで利用するユーザー側のセキュリティ意識の欠如でもあり。ダウンロードファイル名から判断する限りではありますが、明らかに社外秘だろ的なものがいくつも含まれており、関係各位の今後の身の処し方が他人事ながら大変心配で
rryu 2014/04/23
秘密にするのが前提なURLを持つページになぜ広告枠を設けてしまったのか…

セキュリティ
リンク
例えば、Strutsを避ける
はじめに筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類（任意のコード実行等）の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
rryu 2014/04/23
特定のオブジェクトとメソッドにしか触れないサンドボックスに対するOGNLとかじゃなくて普通のOGNLがリクエストパラメータに指定できるという仕様が間違っているとしか言いようがない。

セキュリティ

Struts
リンク
日立ソリューションズ、.NETアプリケーション開発用フレームワーク「Open棟梁」をOSSで公開
日立ソリューションズは、.NET Frameworkをベースにしたアプリケーション開発に必要な各種機能を提供するフレームワーク「Open棟梁」を、オープンソース・ソフトウェア（OSS）として23日に公開した。また、同社を中心に、OSSコンソーシアムに「Open棟梁」普及に向けたコミュニティとして、「.NET開発基盤部会（仮称）」を7月初旬に発足する。「Open棟梁」は、アプリケーション全体のアーキテクチャを統一する標準アーキテクチャ、入出力処理やデータベースアクセスなどの定型的な機能、開発ツール、テンプレートなどを提供し、高品質なアプリケーション開発環境を実現している。日立ソリューションズでは、「Open棟梁」を受託開発やプロダクト開発、小規模部門システムから大規模基幹システムまで約70件の開発案件に適用しており、これらの実績によって蓄積したノウハウを集約した。異種透過性を実現した通
rryu 2014/04/23
開発7年、.NET Framework 2.0以上の熟成された感じがなんともいえない。

Open棟梁

.NET Framework
リンク
高木浩光＠自宅の日記 - 緊急起稿パーソナルデータ保護法制の行方その1
■ 緊急起稿パーソナルデータ保護法制の行方その1 昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制（個人情報保護法改正）の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低
rryu 2014/04/23
「義務なし」の項目を増やすために準個人情報を設けたがそれが想定する範囲が狭すぎてかつ該当しない情報はたとえ必要なくても個人を特定して利用しないとならないので誰にとっても嬉しくないという感じか。

プライバシー
リンク
JavaScriptの生きてるundefinedと死んでるundefined - mizchi's blog
JavaScriptの悪魔的な振る舞いの一つにundefinedがあると思う。 javascriptには存在するundefinedと存在しないundefinedがあるし、それはつまり [undefined].length => 1 だ— 俺は平気だよ (@mizchi) 2014, 4月 22 JavaScript、[undefined].length => 1 で arr = []; arr[0] = undefined; だけど、このとき前者のundefinedと後者のundefinedは性質的には別物ですよ— 俺は平気だよ (@mizchi) 2014, 4月 22 もう一つの例として、 obj = {}; のとき obj[‘a’] = undefined したとき、for i in obj するとイテレータが一回だけ回る。obj[‘a’] = undefined してもキーは消え
rryu 2014/04/23
Perlで空リストを返したつもりがundefを要素とした要素数1のリストを返していて悩むとかはたまにある。

javascript
リンク
- 2014年4月24日
- 2014年4月23日
- 2014年4月22日