他人のCookieを操作する - T.Teradaの日記
脆弱性検査をしていてしばしば出くわすのは、他人のCookieの値を操作できるとXSSやセッション固定等の攻撃が成功するようなWebアプリケーションです。 このようなアプリがあると、業界的には「Cookie Monsterという問題がありまして、、、でも、、、基本的に現状のブラウザではリスクは低いです」みたいな話がされることが多いのではないかと思います。 本日の日記では、それ(Cookie Monster)以外にも状況によっては考慮すべきことがある、という話をしたいと思います(過去の日記でも少し書いた話ですが、もう少しちゃんと書いておこうと思います)。 通信経路上に攻撃者がいる 被害者のブラウザとサーバの通信経路上に、アクティブな攻撃者がいると想定しましょう。 そのような状況では、攻撃者は正規のサーバになりかわってブラウザと通信をしたり、ブラウザと正規のサーバで交わされる通信に介入することが
REST Hooks
Reduce your REST API server load by 66x REST Hooks are a lightweight subscription layer on top of your existing REST API. Start Coding or try a demo app What are REST Hooks? REST Hooks itself is not a specification, it is a collection of patterns that treat webhooks like subscriptions. These subscriptions are manipulated via a REST API just like any other resource. That's it. Really. Read the docs
Rails4時代の高速テスト環境 Rspec+Guard+FactoryGirl+Spring[NEW!] - Qiita
Rails4時代の高速テスト環境 Rspec+Guard+FactoryGirl+Spring[NEW!]RailsRSpecGuardFactoryGirlspring Railsのテスト環境の定番といえば Rspec Guard FactoryGirl Spork このへんの組み合わせが定番だったんではないでしょうか。 Sporkでテスト環境をプリロードして、Guardでファイルを監視してガンガンテストを回してと。 今回はこのSporkを最近メキメキと頭角を現してきているSpringに置き換えて よりモダンな高速テスト環境の作り方を説明します。 Springのいいところ このSpringなにがいいって、設定がすごく簡単。 おまけにGuard+Rspec以外にもrails generateやrake routesなど他のコマンドも高速化してくれます。 一度体験したらもう戻れません。 必要
![Rails4時代の高速テスト環境 Rspec+Guard+FactoryGirl+Spring[NEW!] - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/46aa6f2e659cc914d46b39f41d52f963a99190f6/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9UmFpbHM0JUU2JTk5JTgyJUU0JUJCJUEzJUUzJTgxJUFFJUU5JUFCJTk4JUU5JTgwJTlGJUUzJTgzJTg2JUUzJTgyJUI5JUUzJTgzJTg4JUU3JTkyJUIwJUU1JUEyJTgzJTIwUnNwZWMlMkJHdWFyZCUyQkZhY3RvcnlHaXJsJTJCU3ByaW5nJTVCTkVXJTIxJTVEJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmdHh0LWNsaXA9ZWxsaXBzaXMmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz03YWE4YWYyNTA1MzM0ZTNjNjdiZDQ5ODBiZDE4ZmZiMw%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwdW5vc2smdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTRkM2IyZDcxNTdjNWMwYzU1ZjBhYWViZmUyMGJjYzQx%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D20084789391f9d573e5af5bbc3e2f9ee)
ackコマンド - Y's note
目次 概要 設定 port install コマンドを作る cpan install 設定ファイル コマンドの実例 通常検索 検索対象から外す 全部検索 Pager指定 ファイルタイプ指定 大小文字区別なし ファイル検索 ファイルパス名の正規表現指定 ファイルパス+ファイル名の正規表現指定 完全一致検索 指定単語の前後行出力 一致したファイル名を出力 再起的に検索しない group指定を外す 検索対象から特定ディレクトリを外す 猫キャラ表示 デフォルト指定? 概要 ackコマンド ソースコード検索はgrepが有名だが、より強力なツールと言われるackを試してみる。 grepより処理が早い。(設定ファイルなど無視) grepより文法が短くて済む。 grepと文法が似ている。 grepの機能がほとんど使えて、findの要素も持つ。 Perlで書かれていてwindowsでも動く。 Perlの正規
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
リアル/ネットのライフログから関心を“先読み” 「関係性メトリック」技術、CEATECに出展
京都大学大学院と電気通信大学大学院、神戸デジタルラボは、移動履歴やオンライン上の活動データを活用し、物ごとへのユーザーの関心を“先読み”して情報を配信するアプリを「CEATEC 2013」(10月1日から、幕張メッセ)に出展する。 「関係性メトリックに基づく新世代ネットワークアプリケーション」の共同研究の一環。人と物や場所などとの潜在的なつながり、関心度の違いなどからなる「距離感」を「関係性メトリック」と定義し、移動履歴や地理的関係などの物理情報と、ネット上の閲覧履歴やSNS上のつながりなどのオンライン情報からモデル化し、人や物、場所の関係性を定量化。ユーザー自身も意識していない潜在的なつながりから、ユーザーの興味関心を予測し、物や場所に応じたコンテンツ配信など、新サービスなどにつなげる狙いだ。 従来の統計的分析や自然言語処理とは「全く異なる概念」で、リアル/ネット上の大量のライフログデー
温暖化の科学 Q5 森林の減少と二酸化炭素吸収量|ココが知りたい地球温暖化 | 地球環境研究センター
世界で森林破壊が進んでいるというのに、植物による二酸化炭素の吸収量は増えているとも聞きました。いったいどちらが本当ですか。 三枝信子 地球環境研究センター 陸域モニタリング推進室長 (現 地球環境研究センター 副センター長) 世界の森林面積が全体として減少しているのは本当です。ただし、熱帯林が急速に減る一方でヨーロッパやアジアの温帯林が少しずつ増えるなど、森林面積の変化は地域によって大きく異なります。また、植物による二酸化炭素吸収量が過去に比べて増えているかについては、正確な答えは得られておらず、現在も研究が進められています。 森林破壊は進んでいる 森林破壊とは、人間が森林を過度に伐採したり焼いたりすることにより、森林が自然の力では回復できなくなり、森林面積が減少することをいいます。世界の森林面積を把握するために広く用いられている世界森林資源調査(Global Forest Resourc
気象庁 | IPCC 第4次評価報告書
気候変動に関する政府間パネル(IPCC)第27回総会(平成19年11月12日〜11月17日、於 スペイン・バレンシア)において、IPCC第4次評価報告書統合報告書の政策決定者向け要約(SPM)が承認されるとともに、統合報告書本編が受諾されました。 IPCC第4次評価報告書統合報告書政策決定者向け要約(2007,仮訳,文部科学省・経済産業省・気象庁・環境省)(PDF,1.65MB) 報道発表資料(平成19年11月17日) 気候変動に関する政府間パネル(IPCC)第1作業部会第10回会合(平成19年1月29日〜2月1日、於 フランス・パリ)において、IPCC第4次評価報告書第1作業部会報告書の政策決定者向け要約(SPM)が承認されるとともに、第1作業部会報告書本体が受諾され、2月2日、IPCCより公表されました。 政策決定者向け要約 気象庁では、平成19年2月9日に気象庁暫定訳を公表したところ
Toward efficient Ruby 2.1
Toward efficient Ruby 2.1 Koichi Sasada <ko1@heroku.com> Heroku, Inc. RubyKaigi 2013 Toward efficient Ruby 2.1 by Koichi Sasada 1 Agenda •Ruby 2.1 Schedule •Ruby 2.1 new “internal” features • Internal object management hooks • Object allocation tracing • GC hooks • RGenGC: Restricted Generational Garbage Collection ← Today’s main topic •Ruby 2.1 expected “internal” features • Sophisticated inline
RGenGCとC拡張ライブラリの関係 - mirichiの日記
Ruby2.1のRGenGCについて対応などを考えていたので個人的まとめ。 ■世代別GCとC拡張ライブラリの相性の悪さ RGenGCは世代別GCである。通常はRubyシステムによって適切に制御されたライトバリアと世代別管理されたGCによって効率よく処理されるが、C拡張ライブラリが関わるとライトバリアの制御が適切に行われない。C拡張ライブラリを書き換えてライトバリアのコードを挿入すればいいわけだが、数が多かったりメンテナ不在だったりするわけで、この方法で対応するのは現実的ではない。 RubyにおいてC拡張ライブラリがライトバリアと相性悪い部分は以下の2点である。 ・CのコードはRubyオブジェクトの内部情報を取り出して保持できる。 ・C実装のクラスはRubyオブジェクト(VALUE型)を保持するC構造体を持つことができる。 たとえばRARRAY_PTRで配列のポインタを取り出して保持した場合
RGenGCの発表資料を読んだ - oupoの日記
ささだこういちさんによるRGenGCの発表資料を読みました。 英語だったので条件反射的にウッとなったのですが印刷してボールペンを片手に辞書を開きながら読み通しました。 RGenGCとは何物か、その仕組みはどうなっているのかということに注目してまとめます。誤りがあれば指摘していただけると助かります。 世代別GCの復習 世代別GCではオブジェクトを新世代と旧世代にわけます。 オブジェクトは最初新世代として生成され、一度でもGCして生き残ったオブジェクトは旧世代となります。ふだんのGC (minor GC)では新世代のみを扱い、旧世代オブジェクトは死んでいても回収しません。たまに行うmajor GCで旧世代も含めてGCします。 世代別GCのminor GCでは次のことをします: ルートオブジェクトからたどれるオブジェクトにマークをつけます マークをつけたオブジェクトは旧世代へ移行します ただしマ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Unix修正主義