Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
位置情報は「使用中のみ許可」にすべき? 「常に許可」のほうがいい? - いまさら聞けないiPhoneのなぜ
ハウツー 位置情報は「使用中のみ許可」にすべき? 「常に許可」のほうがいい? - いまさら聞けないiPhoneのなぜ ときどき画面に出現する、アプリに位置情報の使用を許可するかどうかのダイアログ。なんの前触れもなく現れるうえ、よくわからない内容に関して「使用中のみ許可」か「常に許可」かの二択を迫られるのですから、迷うのも無理はありません。 このダイアログは、アプリに対する位置情報の使用許可を確認するためのもの。iOS 13以降、安全性の観点から位置情報の管理が厳しくなり、使用許可を与えたままにしておくことが許されなくなったためです。「過去○日間に渡って○○回バックグラウンドで位置情報を使用しています」などと状況を報告したうえで、このまま使用許可を与えるか、それとも厳しくするかをユーザに確認することを目的としています。 「常に許可」と「使用中のみ許可」のどちらにするかは、そのアプリの必要性と
機能は追加すればいいというものではない
みなさん、新機能は好きですか。ソフトウェアへの機能追加は、ユーザ目線で単純に考えると「できることが増えていくのでよい」という響きを帯びています。しかし実際は、長く使われるソフトウェアであればあるほど、新機能を追加すべきかどうかはものすごく気を使って決めるものであって、やればいいというものではないのです。この記事の目的は、新機能の追加には細心の注意が必要だとわかってもらうことです。おもな対象読者はソフトウェアを長期間メンテしたことがないかたがたです。 みなさんが使っているOSSに新機能を追加するPRを送った場合を考えてみましょう。ここで重要なのは、PRが送られてきたメンテナやコミッタといわれるコア開発者たちの立場になって考えることです。彼らの役割は、自分たちを含むユーザがそのソフトウェアを使い続けられるようにメンテし続けることです。このメンテのコストに注目すると、機能追加は基本的にコストを上
再現性の危機 - Wikipedia
再現性の危機(さいげんせいのきき、英: replication crisis, replicability crisis)とは、多くの科学実験の結果が他の研究者やその実験を行った研究者自身による後続の調査において再現することが難しい、もしくはできないという科学における方法論的な危機のことである[1]。この危機には長い歴史があるが、「再現性の危機」というフレーズそのものは2010年代初頭に注意を集める問題の一部として名づけられた。 実験の再現性は科学的方法論において欠かせない部分であるため、有意な理論が再現できない実験研究に基づいている科学の多くの領域において、研究の再現ができないことは潜在的に破滅的な結果をもたらす。 再現性の危機は特に心理学(社会心理学)と医学の領域で広く議論されてきた。これらの領域においては古典的な結果の再調査やその結果の妥当性の評価、そしてもし妥当でないならばなぜ実験
先輩に聞く!インドネシア語との付き合い方 その3 - 外資・海外転職に役立つ情報満載!<グローバル転職NAVI>
インドネシア語で交流をするようになって、まず戸惑うのが二人称の使い方ではないかと思います。日本語でも「あなた」「きみ」「お前」と様々ですが、インドネシア語は、日本語よりも格段に多彩です。相手が男性の社会人であれば、「bapak(バパッ)」あるいはその省略形の「pak(パッ)」と呼び掛ければ、まず間違いはないでしょう。 相手が女性なら、ibu(イブ)、 あるいはbu(ブ)になります。しかし、付き合いが深まって気心も知れてくると、もう少し親しみを感じる言い方を使いたくなります。先日、内閣改造でインドネシア調整大臣(Menko)に就任したラムリ(Ramli)氏が、祝賀会を兼ねた同窓会で「Pak Menkoと呼んだら承知しないぞ、俺は昔からMas Ramli だ」と言っていました。日本でも、「俺とお前の仲」などと言いますが、インドネシアでは普通に見聞きするだけでも、これ以外に「engkau(エンガ
眠ると透明になるカエル、秘密は血液に隠されていた
グラスフロッグの一種(Hyalinobatrachium mashpi)のメスをガラスにのせて撮影した写真。体内の臓器や卵が透けて見える。(PHOTOGRAPH BY JAIME CULEBRAS) 中南米に暮らすアマガエルモドキ科のカエル「グラスフロッグ」。半透明の皮膚や筋肉をもち、周囲の森に溶け込めることからそう呼ばれている。裏返しにしてみれば一目瞭然だ。解剖などせずとも、心臓や肝臓、そして曲がりくねった腸まで見ることができる。 グラスフロッグが透明になる仕組みについて、新たな驚くべき発見が2022年12月23日付けで学術誌「サイエンス」に発表された。 フライシュマンアマガエルモドキ(Hyalinobatrachium fleishmanni)というグラスフロッグは、眠るときに、鮮やかな色をした赤血球の89%を、肝臓の中にある規則正しく並んだ袋に取り込む。光を遮る赤血球の大半が体内を循
【エクセル時短】見えているセルだけコピペしたい! 非表示の行と列を除いて選択する方法
表をコピペして再利用しようとしたら、非表示の行と列が含まれていて削除するのに苦労した……なんて経験、ありますよね。「見えているセル」だけを選択するワザを使えば解決です! 一時的にデータを隠すときなど、表の行や列を「非表示」にすることがあると思います。 そのような表の「見えているセル」だけをコピペして再利用したいことがありますが...普通にやると、うまくいきません。 この表ではE列が不要なので、非表示にしてあります。表全体を選択してコピー→貼り付けすると... 非表示にしていたE列(居住地)まで貼り付けられてしまいました。これを毎回削除するのが面倒なんですよね。 しかし実は、たった1つのキー操作で解決できるのです! 【エクセル時短】第49回では、非表示の行と列を除いてコピペする方法を紹介します。 「可視セル」のみを選択するには[Alt]+[;]キー 非表示になっていない、見えているセルのこと
【1月23日追記】12月23日、24日に発生しました障害に関するご報告
いつもSkebをご利用いただき、誠にありがとうございます。 12月23日12時よりskeb.jpにアクセスできない大規模な障害が発生しておりましたが、12月24日07時に復旧いたしました。 12月23日、および12月24日が納品期限のリクエストは納品期限を12月25日23時59分までに延長させていただきます。 みなさまには多大なご迷惑をお掛けしましたことをお詫び申し上げます。 本障害につきまして詳細をご報告させていただきます。 概要日時: 12月23日12時22分〜12月24日7時00分 (JST) ダウンタイム: 18時間38分 内容: skeb.jpにアクセスできない不具合 原因: SkebはすべてのサーバとシステムをHerokuに設置していたが、障害発生時刻より同サービスのアカウントが理由の通知なく利用できなくなった。 解決: Herokuの一切の利用を中止し、すべてのサーバとシステ
メルカリで売ってるアニメの抱き枕カバーって偽物ですか? - 同じ人が沢山枕カバー出品してて、「衝動買いしたけど飾る場所がないので…」と... - Yahoo!知恵袋
「2wayトリコット」というのは生地の編み方の総称でピンからキリまであります。ライクトロンやアクアプレミアなどの高品質な記事として有名なものも2wayトリコットの一種ですが、こういった生地の場合はブランド名を出すので単に2wayトリコットの記載のみの場合はキリからそこそこくらいまでの品質の生地のことが多いように思います。 オークションやフリマアプリなどで正規品かどうかを見極めるときのポイントとしては日本語がおかしくないか、正規品の販売情報(記事名、サイズなど)と説明が一致するか、商品そのものの写真を画像としているか(他の人が撮影したものを勝手に使用しているときもありますが…)、どこから発送か(国内かどうか)、どれくらいの日数で届くか(日数がかかる≒受注生産の場合は海賊版の可能性が高い)、同じ人が出品している他の出品物もあやしくないか、を重視するとよいかと思います。確証が持てないものはスルー
フロッピーディスク申請など「アナログ規制」約1万項目見直し決定 人手不足解消なるか “人の作業とすみ分け”がカギ|FNNプライムオンライン
政府は、フロッピーディスクでの申請など、デジタル社会にそぐわない「アナログ規制」約1万項目の見直しを決めた。 「2年間でアナログ規制を一掃」 薬剤師は“オンライン説明可”に 21日岸田首相は、デジタル臨時行政調査会で、「2024年6月までの2年間で、アナログ規制を一掃いたします」と述べた。 この記事の画像(10枚) 見直しの対象は、フロッピーディスクでの申請を指定する法令など、約1万項目だ。 規制の見直しによって、2023年1月からは、コンビニのセルフレジでマイナンバーカードを示せば、酒やたばこを購入できるようになる。 また、薬局が副作用リスクの高い医薬品を販売する際には、薬剤師の対面を義務付けていたが、オンラインでの説明で販売できるようになる。 政府は「アナログ規制」を一掃することで、人手不足の解消や生産性の向上などを目指している。 「デジタライゼーション」見据え取り組み 人の作業とのす
アイドルが間違える「青梅駅」と「青海駅」 実際にはどのくらいかかる? | 文春オンライン
どうやら、アイドルたちは青海(あおみ)と青梅(おうめ)をよく間違えてしまうらしい。さる11月27日、青海駅近くにあるZepp Tokyoに向かっていたアイドルグループ「HIGHSPIRITS」に所属する小室あいかさんが、青海駅と青梅駅を間違えてライブに出演できないというハプニングがあった。同様の“事件”はこれまでもたびたび起きているようで、今年7月には「全力少女R」の佐藤絵里香さん、2016年には「R-Village Girls」のMEIさんが、おなじように青海駅と青梅駅を間違えているのだ。 まあ、この相次ぐ青海青梅勘違い事件に対して冷静にツッコミを入れるなら「よく確認しましょう」のひとことで終わってしまう。Zepp Tokyoの公式サイトでもしっかりと「青海駅」と書かれているし……。 皆様ごめんなさい。 ZeppTokyoに向かっていまして、 青梅駅だと思って着いて、ZeppTokyoの
ドキュメントが更新できない理由:101回死んだエンジニア:エンジニアライフ
いろいろな仕事を渡り歩き、今はインフラ系エンジニアをやっている。いろんな業種からの視点も交えてコラムを綴らせていただきます。 絶対的情報量が多すぎる 思えば紙を使って仕事をしていた時代は良かったのかもしれない。紙は劣化するので、作成したドキュメントは書き直されたり追記されたりと、自然に行われていた。また、手書きなので複雑な書式で書くことが難しい。欠点のようだが、複雑に書けないが故に自然にシンプルで分かり易い形にまとめる習慣がついていたのかもしれない。 アウトプットできる情報の量が少ないので、手元に存在する情報の量も少なくなる。一見、乏しい情報を元に考えるので、思考の効率が落ちそうな気がする。しかし、一つのテーマに対してじっくり考える時間が取れるので発想がクリエイティブだった。情報の量が多いということは、その分、処理をするのが大変になるということだ。アドバンテージになるとは限らない。 当たり
和式トイレの年間出荷、全体の0.7% それでも全て洋式にならない理由
家で洋式、外では和式 東京広報グループの岩崎愛さんによると、「家では洋式でも外では和式派という方はいらっしゃるそうです」。 和式を選ぶ大きな理由の一つとして、不特定多数の人が座った便器に触れるのが嫌、という人がいるそうです。 和式派の数はわかりませんが、TOTOの和式の出荷数は、2015年は0.7%。1%を切っています。かなり少数であるものの、まだ需要があることに驚きです。 洋式はユニバーサルデザイン TOTOでは洋式化を薦めています。理由の一つとして、和式はユニバーサルデザインではないことがあります。 和式はしゃがまなければならず、車いすの人や、足腰が強くない高齢の人などには適していません。 アンモニア、洋式の10倍 もう一つが衛生面。 TOTOの調査によると、便器の周りの床のアンモニア付着量が、和式だと洋式の10倍以上ありました。アンモニアは尿による臭い成分です。 「和式便器は、排泄時
メルカリが検索に「売り切れ品」を置く理由、初期のLINEが友だち追加を「電話番号マッチング」に絞った理由など、アプリのマーケティング施策まとめ30|アプリマーケティング研究所
2017年〜2020年(+α)に取材した記事から、今でも参考になりそうな施策などまとめてみました。※ 数値等はあくまで取材当時のものです。 1、フリマアプリの検索結果に、あえて「売り切れ商品」を表示している理由(メルカリ)フリマアプリの「メルカリ」では、検索をかけると販売済みになっている、「売り切れ品」も表示されるようになっている。 あるとき邪魔ではないかと、検索結果から「売り切れ品」を消してみたら、あらゆる数値(継続率・購入率など)が悪化してしまった。 実は「売り切れ品」を置いておくことが、ユーザーに「これ買いたかった」「マメにチェックしとこう」と思ってもらう、うまい演出として機能していたのが理由。 2、コメント欄のタイムラグを小さくすると、コメント率が改善されて荒れにくくなる(ミラティブ)配信アプリの「ミラティブ」では、コメント欄のタイムラグを小さくしたところ、コメント率が改善されたと
DOS 時代(昭和)の Lotus 1-2-3 で、最近の表計算でよく使う機能はどの程度使えるのか? : まだプログラマーですが何か?
僕のことを個人的に知ってる人はご存知かもしれませんが、自分は今から25年ちょっと前に「ロータス株式会社」という企業でアプリケーション開発を担当していました。具体的に開発を担当していた製品の中には、昭和を代表する(苦笑)表計算ソフト 1-2-3(「ワンツースリー」)も含まれていました。ここ10年くらいはウェブアプリばかり作っていますが、まだ頭(や性格)がキレキレだった頃はパソコン向けのネイティブアプリも作っていた時代がありました。 自分が開発を直接担当していたのは Microsoft Windows 向けの 32bit 版でしたが、当時はまだ PC-DOS 版を無理やり Windows 向けに拡張した 16bit 版や、PC-DOS 版自体も 1995 年まではバージョンアップ対応をしていました。そんなこともあって当時の担当製品は今でも仮想マシン(VM)の形で残していたりします。今となっては
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【特集】 Windows 11へのアップグレードはいつまで無料?改めて10からのアップグレード要件を確認する
アナクロニズムとは? 意味や使い方 - コトバンク
【Excel】コピペで列幅の違う表を上下に並べたらダメ? レイアウト崩れを防ぐ方法【いまさら聞けないExcelの使い方講座】
技術的負債は開発者体験を悪化させる / Technical Debt and Developer Experience
関数の引数は反変 - mrsekut-p