機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
「若者のコピーレフト離れ」は本当か? GitHub世代に注目してみる - YAMDAS現更新履歴
Open Source Is Old School, Says The GitHub Generation - ReadWrite 近年 GNU GPL に代表されるコピーレフトなライセンスから BSD、MIT、Apache ライセンスなどのより寛容な(permissive)ライセンスへの移行が起きているという話である。 ソフトウェアが書かれた言語別のコピーレフトなライセンス離れのグラフ(Perl を除くほぼすべての言語でそのトレンドが顕著)や、実は GitHub でホストされているプロジェクトの多くは、ちゃんとしたライセンス指定を行っていないとかなかなか興味深い。 この文章の結論は、この一文になるのだろうか。 License rebels, in other words, tend to become less rebellious as their projects mature. O
第1回 「個人番号」では串刺し検索ができない
マイナンバー法案が、国会で審議中だ。システム調達は巨額で、特需が生じると分析する向きもあるが(関連記事)、システム調達費用が巨額になるのには、それなりに理由がある。マイナンバーはかなり複雑なシステムであり、要求要件が非常に難しいからだ。 本連載では、マイナンバーのシステムが抱える複雑さや、システムを開発する上での難しさを解説する。連載第1回である今回は、マイナンバーがどのような設計原理に基づいているのか。以下に示した図を基に、例を挙げて説明しよう。 サーバーをまたいでの串刺し検索が許されていない マイナンバーの特徴は、「個人番号を使ったサーバーをまたいでの串刺し検索が、一切できない」という点にある。例として、「ある人物の年金加入記録を郵送したところ、転居先不明で日本年金機構に戻ってきてしまった」という場合を考えてみよう。 マイナンバーを導入すると、日本年金機構は以下の手順で、転居先を調べる
JavaScriptで日付を扱うならこれ!「moment.js」
■ つかいかた(基礎編) ダウンロードしたmoment.jsをscriptタグで読み込ませたら準備完了です。 あとは下記のような実装で使用できます。 // momentオブジェクトを初期化して・・・ var m = moment(); // formatで出力! var output = m.format("YYYY年MM月DD日 HH:mm:ss dddd"); console.log(output); // => 2013年05月15日 12:34:56 Wednesday // 現在時刻 moment(); // ミリ秒で指定 moment(1368543600000); // タイムスタンプ(秒)で指定 moment.unix(1368543600); // Date.parseで解析可能な文字列を指定 moment("May 15, 2013"); // Dateオブジェクトか
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ChefとOpsWorksで EC2 楽チンクッキング!
