タグ

2023年1月6日のブックマーク (3件)

  • Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん

    English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo

    Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん
  • 位置情報は「使用中のみ許可」にすべき? 「常に許可」のほうがいい? - いまさら聞けないiPhoneのなぜ

    ハウツー 位置情報は「使用中のみ許可」にすべき? 「常に許可」のほうがいい? - いまさら聞けないiPhoneのなぜ ときどき画面に出現する、アプリに位置情報の使用を許可するかどうかのダイアログ。なんの前触れもなく現れるうえ、よくわからない内容に関して「使用中のみ許可」か「常に許可」かの二択を迫られるのですから、迷うのも無理はありません。 このダイアログは、アプリに対する位置情報の使用許可を確認するためのもの。iOS 13以降、安全性の観点から位置情報の管理が厳しくなり、使用許可を与えたままにしておくことが許されなくなったためです。「過去○日間に渡って○○回バックグラウンドで位置情報を使用しています」などと状況を報告したうえで、このまま使用許可を与えるか、それとも厳しくするかをユーザに確認することを目的としています。 「常に許可」と「使用中のみ許可」のどちらにするかは、そのアプリの必要性と

    位置情報は「使用中のみ許可」にすべき? 「常に許可」のほうがいい? - いまさら聞けないiPhoneのなぜ
  • 機能は追加すればいいというものではない

    みなさん、新機能は好きですか。ソフトウェアへの機能追加は、ユーザ目線で単純に考えると「できることが増えていくのでよい」という響きを帯びています。しかし実際は、長く使われるソフトウェアであればあるほど、新機能を追加すべきかどうかはものすごく気を使って決めるものであって、やればいいというものではないのです。この記事の目的は、新機能の追加には細心の注意が必要だとわかってもらうことです。おもな対象読者はソフトウェアを長期間メンテしたことがないかたがたです。 みなさんが使っているOSSに新機能を追加するPRを送った場合を考えてみましょう。ここで重要なのは、PRが送られてきたメンテナやコミッタといわれるコア開発者たちの立場になって考えることです。彼らの役割は、自分たちを含むユーザがそのソフトウェアを使い続けられるようにメンテし続けることです。このメンテのコストに注目すると、機能追加は基的にコストを上

    機能は追加すればいいというものではない