CakePHPのSecurityComponentの脆弱性で任意のPHPコードが実行できる仕組み - disり用。
もはや懐かしい感じのあるCakePHPのセキュリティトークンから任意のPHPを実行できる脆弱性ですが、なぜこれで任意のPHPコードが実行可能になってしまうのか心配で夜も眠れない方の為に、実行される仕組みを解説してみようと思います。詳細とアドバイザリ、PoCは以下のものを参照しています。 http://co3k.org/diary/12 http://malloc.im/CakePHP-unserialize.txt http://malloc.im/burnedcake.py CakePHPのSecurityComponentが提供するCSRF対策のトークンは単一の識別子ではなく、':' でトークンと$lockedという謎の値が繋がれたものになっています。$lockedには配列をシリアライズしたものをROT13で変換したものが入っています。この$lockedに任意の値を入れることで任意のP
DebianのRubyパッケージメンテナ辞任で騒動に:Rails Hub情報局:エンジニアライフ
Debian GNU/LinuxのRuby関連パッケージのメンテナだったフランス人のLucas Nussbaumさんが、Rubyパッケージの作成・管理に関わるのをやめると宣言しました。その理由を、やや感情的にブログに列挙したことをキッカケに、日本語・英語のコミュニケーションギャップの問題、OS(ディストリビューション)とRubyなどの言語処理系のパッケージシステムの不調和の問題、コミュニティ運営の成熟度など、さまざまな議論が巻き起こっています。 多くの論点を含みつつ議論が展開 念のために先に指摘しますが、Debian上(Ubuntuでも同様)のRubyパッケージの今後については、Lucasさんのほかに、まだ2人、やまだあきらさんと、森脇大悟さんが関わっているので(リンク)、今回の騒動によってRubyパッケージがDebian上でメンテナンスされなくなったり、将来が不安だということはないと思い
PART1 追加メンバーは来ない、工程・タスクごとに進捗守ろう
「プロジェクトの進捗は遅れるもの」という考えはもう許されない。追加メンバーの投入やスコープダウンが難しくなったことで、工程やタスクごとに進捗を守ることが求められる。チームのマネジメントや個人の仕事を工夫し、進捗遅れを一掃しよう。 ITベンダーA社のプロジェクトマネジャーである山田氏(仮名)は2年前、システム開発の進捗遅れで、悔しい思いをした。それは、外資系のユーザー企業B社の勤怠管理システムの構築を担当したときのことだった。 このプロジェクトは当初、A社の別のプロジェクトマネジャーが担当していた。しかしB社の勤怠の業務ルールが極めて複雑なこともあり、途中からプロジェクトが進まなくなった。そこで、勤怠管理システムの構築経験が豊富な山田氏が、プロジェクトマネジャーとしてプロジェクトを引き継ぐことになった。 プロジェクトオーナーであるB社の人事部長と協議して納期を設定し直したが、要件定義を最初か
海外でのエンジニアの労働環境について
Yusuke Ando @yando ニューヨークに来てから同僚はみーんな年上。みんなコード書きまくり。これって新鮮です。子持ちのお母さんも多い。 2010-10-08 00:04:54
テレビ朝日、サイバーエージェントと共同でAmebaでソーシャルゲーム『俺達のプロレス』を展開 / GameBusiness.jp
サイバーエージェントは、テレビ朝日と共同開発した「Amebaモバイル」向けソーシャルゲーム『俺達のプロレス〜おいっ!リングへあがれ!!〜』を4日よりサービス開始しました。 『俺達のプロレス』はAmeba会員であれば誰でも無料で遊べる対戦型プロレスゲームで、自分のレスラーを育成しながら、他のユーザーやテレビ朝日の番組「ワールドプロレスリング」に登場したレスラーと対戦しながら、技を覚え、チャンピオンベルトを目指します。 基本無料+アイテム課金制となります。 テレビ朝日はシンエイ動画、モバイルファクトリーと共同で、モバゲータウン向けに『バトルゴルファーズ』を年末から運営開始していて、2タイトル目。パートナーと協力しながら積極的にゲーム事業を展開する意向です。 ■著者紹介 土本学(つちもと まなぶ) 1984年山口県出身。在学中にインサイドを立ち上げ。2009年からGameBusiness.
MyNewsJapan編集長、渡邉正裕氏による「ソリティア社員が国を滅ぼす」 大企業にいる「働かない人々」の実態 - モジログ
MyNewsJapan編集長、渡邉正裕氏による「ソリティア社員が国を滅ぼす」 大企業にいる「働かない人々」の実態 Togetter - @sasakitoshinao氏推薦! Mynewsjapan代表 渡邉正裕@masa_mynews氏の、大晦日カミングアウト!・・・私はこんな『働かない人々』を見てきた・・・Solitaire社員が国を滅ぼす http://togetter.com/li/84688 MyNewsJapan編集長、渡邉正裕氏による大晦日の連続ツイートまとめ。 「ソリティア社員」とは、大企業でほとんど仕事をせず、「ソリティア」ばかりやっているような中高年社員のこと。そんな「働かない人々」の実態が、具体的な企業名つきでまとめられている。 <1)講談社では17:30に終業のチャイムが鳴ると同時に帰宅する中高年社員も珍しくない。それでも年齢とともに基本給と年齢給が上がり50歳前後
サーバサイドでCanvasを利用する(node.js)
// sample.js var Canvas = require('canvas') , http = require('http'); http.createServer(function (req, res) { var canvas = new Canvas(200,200); var ctx = canvas.getContext('2d'); // 四角形描画 ctx.fillStyle = 'rgba(0, 0, 255, 0.5)'; ctx.fillRect(10, 10, 190, 190); // テキスト描画 var text = "Canvas Test"; ctx.font = '30px Impact'; ctx.rotate(.1); ctx.fillStyle = 'rgba(0, 0, 0, 1.0)'; ctx.fillText(text, 10, 1
ティム・オライリーが五つの分野について語る未来の展望 - YAMDAS現更新履歴
本日から仕事始めという人が多いだろうが、週末になれば三連休とまだいくらか余裕があるので、2010年を総括して2011年の方向性を定めるのに参考になる文章を読む時間はまだ残っている。 新年一発目の更新は、そうしたトレンドを読む文章として O'Reilly Radar に掲載されたオライリー・メディアの創始者、CEO であるティム・オライリーの What lies ahead インタビューシリーズを取り上げたい。 オライリーは5つの分野について今後の展望を語っている。ワタシが読んでおっと思った文章をざっと翻訳しておく。気になったら是非原文をあたっていただきたい。 What lies ahead: Data やはり彼の一番の興味はこの「データ」にあるようで、来月開催されるカンファレンス Strata 2011 は注目である。 データとアルゴリズムこそが非常に多くの企業の活動の中核をなしており、そ
php – 短縮URLを一行で展開する
エレクトロニック・サービス・イニシアチブのWebシステムのコンサルタントのブログです。Webシステムを対象としたセキュアコーディング/セキュアプログラミング、SAMM、ソースコード検査、Webシステム開発、パフォーマンスチューニングの技術支援、コンサルティング、セミナー開催、書籍などの執筆、PROVE for PHPの開発、PHP4.x/5.xレガシーPHPセキュリティパッチサービスなどを行っています。 ブログのサブタイトルを「書かない日記」としているのは、ブログを始めた時にあまり書かないつもりで始めたのでこのサブタイトルになっています。 氏名:大垣 靖男 私が記述したブログ中のコードは記載が無い場合はMITライセンスです。その他のコードは参考リンクなどのライセンス情報を参照ください。 ご依頼・ご相談は info@es-i.jp まで。
MessagePack for PHP@Webホスティング - Blog by Sadayuki Furuhashi
先日 phpのserializeを使うより高速でサイズもコンパクトに仕上げる「MessagePack」とPHP拡張 でも紹介されている MessagePack for PHP ですが、Webホスティングサービスにも標準で組み込まれ始めているようです: Joe’sウェブホスティング、高速シリアライズライブラリ「MessagePack」のPHP拡張モジュールを全共用サーバーに提供開始 MessagePackはオープンソースで開発が進んでいるプロジェクトです。そして各言語版はそれぞれの言語のエキスパートによって実装されるという形態になっています(自然にそうなったのですが^^;)。 PHP版はadvectさんによる実装です。 実はPHP版には以前に別の実装があり、advectさんから新しい実装が送られてきたときは 2,3回くらい提案された実装を全部リジェクトした という経緯があるのですが(笑)、最
あなたを次のレベルに押し上げる「集中的訓練」の方法
ただ「できる」だけではない、多くの有能な人と最高レベルで競い合うことのできるスキルを磨くにはどうすればいいのでしょう? 一人の「天才」的な才能を生み出すのに必要な時間は、マルコム・グラッドウェルが Outliers で紹介したように、10000 時間と言われています。 しかしこれは必要条件であって、十分条件であるとは限りません。普通にチェスを 10000 時間実践していれば、たいていの選手よりは強くなれます。しかしあとになればなるほど時間あたりに得られる経験値は少なくなりますし、強くなればなるほど自分のレベルを高めてくれる相手を探すのが難しくなるので、グランドマスターになりたいのなら、さらに絞り込んだ訓練が必要になります。 ゲームでたとえるなら、「スライムばかり倒していてもレベルは上がらない」と言い換えられるでしょうか。 ただ秀でているというところから、本当に「天才」というレベルにまで人を
にこがめ - ニコニコ動画 ゲーム実況プレイまとめサイト
ニコニコ動画のゲーム実況プレイ動画をゲーム名・ゲーム機(ハード)・キーワードなどから検索して見ることができます。ニコニコ動画のアカウントがなくてもゲーム実況プレイ動画を見ることができます!更新情報フィード デイリーフィード (新着動画が大量にあるので、一日一回更新のフィードも用意しました) 更新情報Twitter @nicogamin デイリー更新情報Twitter @nicogamedaily にこがめについて ただいまの登録動画数 18024 件 nicogame にこがめ は、ニコニコ動画のゲーム実況プレイまとめサイトです。 にこがめについて詳しくはこちらをご覧ください。 ゲーム関連ニュース 戦国BASARA新作はPSPに決定、タイトルからして本格的にコーエーに喧嘩を売り始めた模様by はちま起稿戦国BASARA新作は「クロニクルヒーローズ」に決定! コーエーwwwb
Hack The WebGL(WebGL勉強会)
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
いまこそ始めよう、WebGL | gihyo.jp
あけましておめでとうございます。私はWebGL勉強会の運営メンバーの増田知記と申します。 この度、技術評論社様より執筆の機会をいただきましたので、WebGL勉強会の活動内容とWebGLの動向についてお話をさせていただきます。 WebGL勉強会とは WebGL勉強会設立のきっかけは仲間内で「何か勉強会を開いてみたいね」と話が持ち上がったことでした。この時に勉強会のテーマとしてAzureも挙がっており、もしかしたらAzure勉強会になっていたかもしれません。 1回目の勉強会を昨年の9月にを開催したのを皮切りに、今までに4回の勉強会を開催してきました。人気の高い勉強会と比べるとまだ少ないですが、会を重ねる毎に参加者が増えておりWebGLへの注目が高まっていることを感じています。参加条件は有りませんし、とてもラフな集まりですのでみなさまお気軽に勉強会に参加していただければと思います。さらに発表まで
リアクティブプログラミングが世界中のソフトウェア技術者の95%に普及しないと考える理由と今後に対する期待 - おろかな日々
id:pokarimさんの日記エントリなぜリアクティブプログラミングは重要か。 - Conceptual Contextureにブックマークコメントをつけたら、twitterでお返事をもらいました。なぜ自分はああ考えたか、丁寧にフォローしてもらったのでそこにきちんと返事をしたい。それにはちょっと、twitterだとツライなと。140字で区切られるのは、ちょっと不便すぎる。 という事で、元記事に対して自分の考えを整理したうえで、なんであーゆーブックマークコメントになったのかを説明してみよう、という主旨のエントリです。 最初のブックマークコメントの、もうちょっと細かい説明 元記事は↑のリンクを踏んでもらうとして、まず、私のブックマークコメントを引用してみよう。 面白いエントリ、面白い技術ではあるけど、大きな仕事にあつまる大勢の人達全てが、これを必要とはしない。世界中のPを書く人の5%程度の人に
SpeedyFox - soundscapeout (仮)
Firefox のデータベースファイルを最適化して高速化する「SpeedyFox」の Mac バージョンがリリース! SpeedyFox - Boost Firefox in a Single Click! | CRYSTALIDEA Software プロファイルを選択し、「Speed Up My Firefox!」をクリックするだけ。 Firefox が起動していると最適化できないので、終了し最適化してください。 最適化してくれるアドオンもいろいろあるので、自分にあったものを使うといいですね。 私は、最適化完了を Growl でお知らせしてくれる Vacuum Places Improved :: Add-ons for Firefox を愛用してます。
WebSocketを使ってなんちゃってビデオチャットを作ってみた - いろいろな何か
はじめに 以下のページでjQueryでWebカメラを操作できると知ったので、WebSocketを使ってなんちゃってビデオチャットを書いてみました。 WebSocketサーバに接続した2名で1対1のビデオチャットが出来ます。送受信するデータはカメラの映像とテキストのみで、音声データの送受信には対応していません。 jQueryからウェブカムをコントロールするためのプラグイン『jQuery Webcam Plugin』 | IDEA*IDEA 実行環境 Chrome 10.0.612.3 dev Firefox 4 beta 7 node.js 0.3.1 node-websocket-server 1.4.01 jQuery webcam plugin WebScoketサーバ側のプログラム 今回はnode.jsを使ってサーバ側のプログラムを書きました。 videoChatServer.js
Mac Explorer| キーボード操作が快適なFirefox環境を作る
最近はChromeがブームのように感じますが、デフォルトのブラウザをSafariからFirefoxに移行し(戻し)つつあります。 自分なりに快適な環境を作るのに色々としたことがあったので、既出の情報が多くなってしまいまうとは思いますが備忘録として残しておきます。ご容赦いただければ・・・。 ■完成形・方針 基本はVimperator。キーボードで行えない操作はないようにする。 VimperatorでFirefoxのUIはタブだけに。 Vimperatorのカラースキーム sweets_snaka.vimp を少し弄ってタブのアピアランスはデフォルトに。 ステータスラインにファビコンやフィードアイコン、はてブ数など色々表示 Deliciousブックマーク、TumblrへのポストはTomblooで。Vimperatorプラグインでコマンドでできるようにする。 TwitterのTL表示やツイートも
DebianのRubyパッケージ管理者が辞めてしまった理由 - karasuyamatenguの日記
RubyのDebianパッケージを管理しているLucas Nussbaum氏が辞める意思を表明した。 http://www.lucas-nussbaum.net/blog/?p=617 Nussbaum氏のルビーコミュニティーに対する批判・懇願を残している。最初の二つは(コアとリリース)は日本の開発陣に対して、それ移行は英語ベースのルビーコミュニティーに対しての意見だと思う。以下、Nussbaum氏の意見を要約。 ルビーコア開発コミュニティー 開発メールリストは日本語でなく英語主体のruby-core@に移行すべきだ。 リリース管理 ruby_1_8 (106 commits over the last six months) ruby_1_8_6 (4 commits over the last six months) ruby_1_8_7 (35 commits over the la
Matzのコメント: DebianのRubyパッケージ管理者をやめちゃった方への - 方向
DebianのRubyパッケージの管理者をやめちゃった方のBlogが何かと話題になっています。主にRubyコミュニティへの不満、特に日本語偏重への不満が溜まっていたようです。 http://www.lucas-nussbaum.net/blog/?p=617 http://d.hatena.ne.jp/karasuyamatengu/20110103/1294014752(和訳・要約) その記事にMatzがコメントしていたので訳してみました。 Although I respect your decision, I think some of your problems could have been improved (or resolved) by communication. Maintaining software is a series of compromise between
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
勝間さんの桃鉄論
