PHPのセッションアダプション脆弱性克服への道のり
(Last Updated On: 2018年8月13日)PHP Advent Calender用のエントリです。 PHPのセッション管理は非常に簡単です。セッションをsession_start()で開始して$_SESSION配列を使うだけです。便利で簡単なセッションモジュールですがセッションアダプションに脆弱であるため、一般に言われてる「ログインする時にはsession_regenerate_id()を呼ぶ」コーディングではセッションアダプションに脆弱になってしまいます。 まずは危険性と対策を紹介します。 セッションアダプションの危険性 セッションアダプションとは外部などから設定されたセッションIDを受け入れ初期化する脆弱性です。一番分かりやすい例はTrans SIDを有効にして http://example.com/index.php?PHPSESSID=1234567890 とアクセ
Behat hackday · Blog · Liip
A few days ago, we held an open hackday on doing Behaviour Driven Development (BDD) with Behat at Liip Fribourg. It was the opportunity for the handful of participants to get a first grip on Behat and explore some aspects of BDD through it. Introduction BDD is an interesting practice for agile web developers, it ideally allows the formalization of the acceptance criteria of a story through scenar
Twitter連携サービス『paper.li』が利用者の被ブロック率を潜在的に高めているかもしれない件 - Togetter
コミュニケーションが生まれるツイートまとめツール
英語に自信がなくてもできるCakePHPへの貢献 -バグ報告編- - 24時間CakePHP
CakePHP(またはオープンソースプロダクト)のコアコードのバグ・不満・修正・設計について言及したい、しかし英語わからない、面倒くさい、なんとなく怖い、といった方向け。 導入 CakePHPへの貢献は色々な方法があります。バグ報告、パッチ、ドキュメント、議論、有用なプラグインの作成、etc.. といっても、英語書かなきゃいけないというプレッシャーは大きいはず。 しかし怖がることはありません! 最低限の情報提供だけでもそれは有益なことです。 私たちの使っているフレームワークのコミュニティにはたくさんの、英語のネイティブではない人々がおり、その人達によってCakePHPは支えられているのです。 バグ報告 CakePHPへの貢献の中で、まず一番簡単で楽なのはなんといってもバグ報告です。 今回はこのバグ報告について、実例を見ながら、どうすればバグ報告をできるかを説明します。 チケット管理システム
そろそろ CodeIgniter からの移行先について一言言っておくか - A Day in Serenity @ kenjis
(2012/08/30) そろそろ CodeIgniter からの移行先についてもういっぺんだけ言っておくか - A Day in Serenity @ kenjis を書きました。 ということで、ライセンス問題で発火した CodeIgniter から移行するフレームワークを検討されている方も多いかと思います。 [2014/10/29 追記] CodeIgniter 3.0 は MIT ライセンスでリリースされることになりました! 詳細。 なので、参考のために移行先に関する情報を書いておきます。 似たようなフレームワークを探したい場合 断言しますが、候補はこの 3つです。 Kohana http://kohanaframework.org/ Yii http://www.yiiframework.com/ FuelPHP http://fuelphp.com/ Kohana Kohana
ゲーミフィケーションでJenkinsにアクセスしてもらおう - Masa / Lino Blog
Jenkins Advent Calender 2011の第四走者です。 id:ikeike443さんからバトンを引き継いで、クリスマスを盛り上げたいと思います。 継続的インテグレーションでは、こまめに開発ラインにコミットして、小さな変更による問題を即座に解決することが重要です。変更範囲が大きくなると、修正も指数級数的に難しくなります。 そのため、Jenkinsでビルドを自動化するだけではなく、ビルドレポートをチェックし、適切なアクションを取らなければなりません。 そのためには、開発チーム全員がJenkinsのビルドレポートに注意を払う必要があります。 開発チーム全員にJenkinsに興味を持ってもらい、より多くアクセスしてもらうにはどうすればいいでしょうか? そのひとつの解決策として、Jenkinsにゲーミフィケーションを取り込むというのがあります。 唐突ですが、ゲーミフィケーション(g
auのシャープ製Androidスマホ「INFOBAR」での「LifeLogService」なるサービスに関するKDDIの回答
Hiromitsu Takagi @HiromitsuTakagi auのシャープ製Androidスマホ「INFOBAR」でjp.co.sharp.android.lifelog.databaseパッケージの「LifeLogService」なるサービスが購入時から稼働していていることについて、KDDIに問い合わせた件、10月28日に回答があり、… 2011-12-03 01:04:17 Hiromitsu Takagi @HiromitsuTakagi …10月28日に回答があり、問い合わせのやり直しを要求し、質問事項「このLifeLogServiceは、何を取得するもので、何を記録するものか。」としたことは、http://t.co/F3baxSHD に書いていた。その後、時間をかけて調べた上での再回答が、11月18日にあった。 2011-12-03 01:05:33 Hiromitsu
Jenkinsでビルド・パイプラインを作る
Jenkinsのプラグインでビルド・パイプラインを作ることができるので紹介。 #12月20日のワンクリックデプロイ勉強会の発表のネタバレっぽいのですが。 ビルド・パイプラインとはビルド・パイプラインとは、継続インテグレーションのプラクティスの1つで、テスト等を複数の単位に分割し、順番に流していくものである。一般的には継続的インテグレーションを利用していれば、SCMにソースコードをコミットした段階ですぐにユニットテストを走らせ、以降に、静的解析や結合テスト、受け入れテスト、ステージング環境へのデプロイ、本番環境へのデプロイという形で進んでいくことになり、その単位でパイプライン要素を分ける。 当然パイプラインの途中で試験に不合格であれば、その後のプロセスには進めない。 これによって、例えばコミット時には即座にユニットテストレベルの結果を返して開発者のペースを阻害しないようにすることができる。(
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Web Advent 2011 / Reduced-Friction Deployment
SHARP製Android端末にあるLifeLogServiceの謎