特定条件下におけるOAuth 2.0の認可応答を奪取されるリスクとその対策について - r-weblife
こんにちは、ritouです。 やっと”なんちゃらAdvent Calendar”がおさまり、これからは”一年を振り返って(遠い目”みたいな記事が増えることでしょう。その間のタイミングを狙います。 何の話か mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife の最後にちょっと書いたんですけど、モバイルアプリでOAuth 2.0を使う際にやっかいな問題が残ってました。 今回は、「ネイティブアプリケーションからOAuth 2.0を使うとき、特定の条件下において、正規のClientではない悪意のある第3者に認可応答を持って行かれて、その結果Access Tokenを取得できちゃうリスクがあるよね。どうしようか。」っていう話です。 条件っていうのは、 OAuth 2.0のClientはネイティブアプリケーションであり、Client C
mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife
こんばんはこんばんは!!、ritouです。 木曜に公開されたこの記事を見て実際に試してみた/使ってみたってエントリ、たぶん誰も書いてくれないので自分で書きます。 OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blog とりあえず上記の記事を読んで、最後の方のシーケンス図を覚えといてください。 では動作確認を始めましょう。 手順0 : サービスを登録してclient_id, client_secretの取得 もしかして、mixi Platformの挙動だけ確かめたい人にとってはここがハードル高いのか。まぁしょうがないです。 開発者登録している人はこちらからサービスを登録できますね。 https://sap.mixi.jp/connect_consumer.pl 例として、とりあえずこんな感じで登録してみます。 client_id : 4f75
Dockerが利用しているAUFSとLXC - $shibayu36->blog;
最近Dockerをいろいろ触ってみていて以下の様な記事を書いたりしました。 Dockerで立てたコンテナにsshで接続する - $shibayu36->blog; serfとDockerでクラスタを組んでみる - $shibayu36->blog; 本番環境のBlue-Green Deploymentの仕組みのプロトタイプを作っていた - $shibayu36->blog; Docker, Mesos, Sensu等を利用したBlue-Green Deploymentの仕組み - $shibayu36->blog; 社内用Docker Registryを立てる - $shibayu36->blog; docker commitでCMDやENVなどを指定する - $shibayu36->blog; docker inspectでDockerコンテナの情報を取得する - $shibayu36-
Testing Backbone Views with QUnit and Sinon - Shine Solutions Group
Unit-testing Backbone Views is hard. You need to cover enough for the test to be meaningful (for example DOM updates and server calls), without getting too tangled up in gory details. In this post I’ll talk about how we use QUnit and Sinon.JS to unit-test our Backbone views. There’s already material out there on using these frameworks together, so I’m not going to get into setting things up. Howev
TechCrunch | Startup and Technology News
Live Nation says its Ticketmaster subsidiary was hacked. A hacker claims to be selling 560 million customer records. An autonomous pod. A solid-state battery-powered sports car. An electric pickup truck. A convertible grand tourer EV with up to 600 miles of range. A “fully connected mobility device” for young urban innovators to be built by Foxconn and priced under $30,000. The next Popemobile. Ov
努力とはなにか?
2013/12/16にNHKで放映されたプロフェッショナル 仕事の流儀は、ヤンキースのイチロー選手でした。 イチロー選手といえば、鋭いバットコントロールでどんなボールでも打ち返す技術。俊足、そして高い守備力と、非の打ち所がない名選手です。 2013年シーズンで日米通算4,000本安打を達成しました。4,000本安打を達成した選手は、これまでイチロー選手を含めて3人しか居ません。 それほどの選手が、今年は40歳を迎え、苦悩に満ちたシーズンを送っていたことを知りました。 栄光と挫折。 同じ世代として、心に迫るものがありました。 努力とはなにか? 今シーズンは先発を外れる試合が増えたイチロー選手。いつ出場できるかわからない日々が続く毎日について、イチロー選手は述懐します。 確かに、精神状態が不安定だったこと。まあ、途中からは特にそうですね。それは間違いなくそこに存在したそれが。そういう自分が存在
テストを書く - シンデレラは削らない
http://t-wada.hatenablog.jp/entry/debugging-tests 和田さーん! テスト駆動開発(TDD : Test Driven Development)は、プログラマが自分の不安を克服し、自分が書くコードに自信を持ちながら一歩一歩進んでいくための手法です。不具合の発生は、端的に言えばこれまでの「自信」を揺らがせる事態です。テスト駆動開発者は不具合にどう立ち向かうのでしょうか? やはりテストを書いて立ち向かってゆくのです。 チーム内にテストを書く習慣を持ち込んで三年、最初のうちは工数が増えるだけだ(あるある)、テストを書いても不具合がでるじゃないか(あるある)、システムテストでカバーすればいい(あるある)などという抵抗があり、それでも僕は淡々と雨の日も、晴れの日も、雪の日も、朝も夜も深夜も、終電後のオフィスでも、GW中の人気のないオフィスでも、自動テスト
不具合にテストを書いて立ち向かう - t-wadaのブログ
テストを行っている品質保証チームや、実際にシステムを使っているお客様から不具合が報告されたとき、あなたはどう思いますか? 悲しんだり、恥ずかしいと思い、不具合修正にすぐに着手したいと気がはやるのが人情というものです。しかし、焦っているときに行う作業はしばしば視野が狭く、一つの不具合修正が三つの新たな不具合を生んでしまうようなことになりがちです。 テスト駆動開発(TDD : Test Driven Development)は、プログラマが自分の不安を克服し、自分が書くコードに自信を持ちながら一歩一歩進んでいくための手法です。不具合の発生は、端的に言えばこれまでの「自信」を揺らがせる事態です。テスト駆動開発者は不具合にどう立ち向かうのでしょうか? やはりテストを書いて立ち向かってゆくのです。私はテスト駆動開発を数年間実践してきた中で、心がけているひとつの「掟」があります。それは「不具合の修正時
マイクロソフトが人事評価の重点を「個人業績」から「協力」と「成長」へ舵を切ったぞ! - ICHIROYAのブログ
この12日(2013年11月12日)、マイクロソフトの人事担当重役Lisa Brummel氏が、全世界の社員に送ったメモで、マイクロソフトは今後、「個人業績」よりも、チームへの貢献度、チームとの協同、個人の成長に重点を置く人事制度に刷新すると宣言した。(参照元ーメモの全文もあります) 詳しい内容は他のニュースメディアにお任せするとして、マイクロソフトが何を変えようとしているのか、僕なりに紹介したい。 彼女のメモの中に、「No more Curve」「No more ratings」とあるが、その意味は、マイクロソフトがいままで採用してきた、stack-rankingというマネジメントスタイルを辞めるということだ。 stack-ranking(もしくは、Vitality curve)が何かと言うと、ジャック・ウェルチ氏が有名にした評価モデルで、20-70-10システムとも呼ばれる。 どんな組
NHK紅白の Android/iPhone アプリが .NET/Xamarin 製だったということ - Qiita
新年あけましておめでとうございます。 今年も Xamarin 推しで参ります、よろしくお願いします。 2013年大晦日の紅白歌合戦、NHK が iPhone/Android 用のアプリを配信していました。 紅白アプリ|第64回NHK紅白歌合戦 紅白で「イェーガー!」と叫ぶために曲を見逃さないiPhoneアプリ、NHK紅白 なんとこのアプリ、Xamarin 製だったとのこと。 紅白あんまり興味なかったのでノーチェックでしたわー。 紅白アプリXamarinなんか — ゆたか (@tmyt) 2013, 12月 17 iPhoneの紅白アプリ、MvvmCross使ってるってことは、Xamarinで作ってるってこと?! pic.twitter.com/cTWPz2cp9E — 菊池紘 (@kikuchy) 2013, 12月 31 このツイートを RT した後、ソッコーで Android 版を入れ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
