Grub2の認証でバックスペースを28回押すとレスキューコンソールに入れる脆弱性が発見された
Back to 28: Grub2 Authentication Bypass 0-Day Grub2のバージョン1.98(2009年12月)から、2.02(2015年12月)までにおいて、脆弱性が発見された。 脆弱性はGrub2の認証機能を使っていた場合に、ユーザー名を入力すべきところで、バックスペースを28回入力すると、レスキューコンソールに入れてしまうものだ。これにより、コンピューターに物理アクセスを得ている人間が、Grub2の強力なレスキューコンソール機能を使うことができる。 脆弱性の原因も詳しく書かれていて興味深い。grub2のコードでは、'\b'が入力されるたびに、unsigned型の変数をデクリメントする。この時、アンダーフローをチェックしていない。その変数は配列の添字に渡されて、ゼロが書き込まれる。 結果として、関数のreturn addressを0x0にすることができ、関
半脱ぎパンツ画像の自動合成によるはいてない感の付与
Presentation of a Haitenai Feeling by Composing an Image of an Undressed Pantie Sekai NANAMI sekai3478@gmail.com, twitter id: Sekai_Nanami Abstract: This paper proposes presentation of a new "haitenai" feeling by composing an image of an undressed pantie to a girl character's legs. Undressed panties added to a girl's legs make users think she is now stripped and users feel eroticism. Key Words:
XSSを報告したらちょっと不便になった - バランスを取りたい
この記事は脆弱性"&'<<>\ Advent Calendar 2015の16日目の記事です。 2015年のアドベントカレンダーですが、大昔(2013年)にミスタードーナツ公式ページにあったXSSの話をします。 2013年3月 ミスタードーナツの公式サイトへ行った時、偶然にも検索画面で怪しい文字列を発見してしまいました。最近ではあまり見かけなくなった ie=utf-8&oe=utf-8 のようなパラメータです。 XSS界隈の人なら恐らくこんな感じのパラメータを見たらちょっと変えてみてどのような挙動を起こすか試したくなるはずです。 実際にoe=utf-8を変えたらそれに対応する値がmetaのcharsetに入るようでした。当時のことを詳しく覚えていませんが、ここから直接XSSしたわけじゃないので多分値はエスケープされていたと思います。 エンコーディング周りでは当時UTF-7が終わりを迎える時
技術/HTTP/REST設計思想の "Stateless" との付き合い方 - Glamenv-Septzen(ぐらめぬ・ぜぷつぇん)(archive)
作成日: 2015-02-11 21:34:52 / last updated at: 2015-02-15 20:03:11 カテゴリ: HTTP プログラミング [ Prev ] [ Next ] [ 技術 ] RESTfulなAPIやWebアプリケーションを開発する際に、一つの疑問が生じる。 RESTでは「ステートレス」を重視して、サーバサイドでのセッション管理ではなく、クライアント側で認証情報や状態を保持して、サーバに都度送る方式を唱えている。これはHTTPで実装するなら、Cookieを使ったセッション管理ではなく、BasicやDigest認証など、HTTP認証を使うことになる。 しかし現実問題として、モダンなWebサイトでBasic/Digest認証を扱うことはなく、サーバサイドのCookieを使ったセッション管理を使うことになる。 RESTにおいて、ステートレスという特
PHPの生みの親、ラスマス・ラードフ氏インタビュー | gihyo.jp
PHPの生みの親、ラスマス・ラードフ氏インタビュー 2015年12月に無事公開されたPHP7。その公開に先立ってPHPの生みの親であるラスマス・ラードフ氏に話を伺う機会がありました。英語で行われた一時間のインタビューは長大ですがラスマス氏の思想がよく分かる話題が多く、可能な限りそのままの形でお伝えすべく、その模様すべてをお届けします。 なお、インタビューは10月に開催されたPHPカンファレンス2015の講演終了後に行われ、リリースに関する話題などはその時点でのものです。 現在の仕事と生い立ち ―――― まずは、PHPを作ってくださってありがとうございます。今日の基調講演もすばらしかったです。 ラスマス:ありがとうございます。 ―――― いきなりですが、個人的な質問から始めてもいいでしょうか。 ラスマス:どうぞ。 ―――― Etsyではどのようなお仕事をなさっているんですか? ラスマ
おい、Antigen もいいけど zplug 使えよ - Qiita
注意 この記事はv1の情報となっております。 最新の情報は日本語ドキュメントを参考にしてください。 zsh のプラグインマネージャといえば Antigen です。zsh 界隈ではプラグイン文化がそこまで強くない印象を受けます。便利なプラグイン1やコマンド2がたくさんあるのに、Vim のそれほど盛り上がっていないのはプラグインマネージャが弱いからではないでしょうか。 Antigen とその弱点 Antigen はよく使われるし実際便利ですが、いくつかの欠点があります。 プラグインの読み込みが遅いこと プラグインの管理が最低限しかできないこと プラグインが antigen に対応していないといけないこと これらの問題点の幾つかは重厚なる zsh 使いの @mollifier さんも以下のスライドで言及しています。 Antigenを使おう 第二の Antigen 1つ目の問題点は Antigen
SystemかMicrosoftか、公式ライブラリの名前
Windows用として生まれて、クロスプラットフォームに育った.NETの宿命というか。System名前空間から始まるライブラリと、Microsoft名前空間から始まるライブラリの話。 System or Microsoft Systemなんて名前、基本的には標準ライブラリ用なわけですが。 「.NET系開発者はサードパーティ ライブラリにも平然とSystemの名前を付けることがある」みたいな問題もありますが、それは今回は置いておきます。今回は割かし標準に近いところ、マイクロソフトによる公式実装のライブラリの話です。 「.NET = マイクロソフト」(他のOSは「そのマイクロソフト.NETの移植」)だった頃には割かし何でもSystem名前空間にされていたわけですが、オープンソース、コミュニティによる推進、クロスプラットフォームなんかをうたうようになった最近はそれではまずいということで、Micr
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://developer.animatelab.com/entry/2015/12/15/093000
低容量/低廉な料金の新設と、実質0円補助の抑制を~総務省タスクフォースとりまとめ