Web on Android | Chrome for DevelopersBuild with Chrome Learn how Chrome works, participate in origin trials, and build with Chrome everywhere.
正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
遠隔操作ウイルス開発者のプロファイリング - とあるソフトの開発記録
世の中を騒がせてますね。素人が専門家にぼろ負けしてるという印象です。問題は素人が権力を持っていること? ウイルス自体が手に入ると良いのですが、どこにもないので、警視庁のページを見てみました(PDFのコピー禁止設定とか、情報提供する気あるのかって思う……)。 資料まとめ iesys.exeに対するコマンド これによると、まずiesys.exeに対するコマンドは下記であるとされています。 ファイルのアップロード、ダウンロードなどに関する命令 cd, del, dl, dltext, send キーロガー、画面キャプチャなどに関する命令 framecnt, kloff, klon, scrcap, scrcap_auto, scrcap_auto_stop 掲示板の設定、アクセスに関する命令 newuser, updatesv, bm, nm iesys.exe自身の動作などに関する命令 res
Visual Studio で作ったプログラムには個人情報が? - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 DebugInfo.com - Matching debug information 実行形式のMZ形式の PE ファイル には Debug Data セクションというのがあります。 そこには PDB というプログラム データベースファイルの情報が埋め込まれているのですが、 Visual C++ 2005 や 2010、2012 などでコンパイルすると実はフルパスでファイル名が埋め込まれます。 PEMAKER v0.80ではこれらの情報を見たり削除したりできるようにしました。
処理開始後の例外処理では「サニタイズ」が有効な場合もある
このエントリでは、脆弱性対処における例外処理について、奥一穂氏(@kazuho)との会話から私が学んだことを共有いたします。セキュアプログラミングの心得として、異常が起これば直ちにプログラムを終了することが推奨される場合がありますが、必ずしもそうではないというのが結論です。 はじめに Webアプリケーションの脆弱性対策では、脆弱性が発生するのはデータを使うところであるので、データを使う際の適切なエスケープ処理などで対処するのがよいと言われます。しかし、処理内容によってはエスケープができない場合もあり、その場合の対処についてはまだ定説がないと考えます。 エスケープができない場合の例としては、以下があります。 SQLの数値リテラルを構成する際に、入力に数値以外の文字が入っていた メール送信しようとしたが、メールアドレスに改行文字が入っていた 入力されたURLにリダイレクトしようとしたところ、U
Cocoaの日々: [iOS] Keychain Services とは
他アプリケーションが格納した Keychain Services 内の情報へのアクセス Mac OS X の場合はユーザが許可を与えれば他のアプリケーションの情報へアクセスすることができる。一方、iOS の場合、アプリケーションは自身が保存した情報のみアクセスが行える。他のアプリケーションの情報へは基本的にアクセスすることができない。ただし同じプロビジョニングプロファイルを使ってビルドされたアプリは設定により情報を共有することができる(後述)。 iOS での特記事項 iOS には単一のキーチェーンのみ存在する(Mac OS X は複数)。 iOS の場合、PC接続時にストレージの内容は暗号化されたままバックアップされる。これを復号化するパスワード(keychain password)はバックアップされない(iOSデバイスの中から外に持ち出されない)。 Keychain Service はプ
![Cocoaの日々: [iOS] Keychain Services とは](https://cdn-ak-scissors.b.st-hatena.com/image/square/708f4f3822922722a834db6565ed4ef5caddcff8/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEipNeYPdlaW7fLs883BAez_07u_tLgKq-reLzfEIYnaBvCUA_BTYCkNVvnJGna1FO06mPR3otXnojM-ixWQokeepOffoWRPgjPsJDy-cnYeB6ikqBNC2MPtxHkLB1JziP1SRLB3_nS-p0OO%2Fs1600%2F110204-0004.png)
5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
要注意! 本当は怖い出力データ
要注意! 本当は怖い出力データ:イチから始める! Androidセキュリティ(4)(1/3 ページ) 「もいちどイチから! HTTP基礎訓練中」でWebアプリケーションの脆弱性と対策について学んだクウが、今度はAndroidの世界に挑戦。Android特有の問題、PCや従来の携帯電話向けのWebアプリとの違いや対策について紹介します。(編集部) システムログは厄介もの? 前回のお話で、ログ情報やデバッグ用に出力する情報を通じて、パスワードなどの重要な情報が漏えいしてしまう可能性があることを認識したクウ。さっそくAndroidアプリの修正に取り組んでいたところ、コミュニティで知り合ったジュンさんから「Androidアプリについて語る会」に誘われて……。 週末、クウはナツから聞いたお店へと足を運んだ。 クウ 「ここかな……?」 ジュン 「おー。久しぶり♪」 ナツ 「来たねー。急に決めてごめんね
Javaで文字列の暗号化/複合化(※外部ライブラリを使わずに) - on the center line.
僕がいま係っているシステムで、別システムのログインパスワードを文字列でデータベースに格納することになりました。これを実現するために、Javaで文字列の暗号化/復合化を行う方法を調べたので、その結果を記しておきます。(※既に別の方々が解説している内容をまとめただけですが。) まず、大きく以下の工程にわけて考えます。 文字列を暗号化する(バイト配列を得る) 暗号化されたバイト配列を文字列化する(暗号化文字列を得る) 暗号化された文字列をバイト配列化する(暗号化バイト配列を得る) バイト配列を復号化する(文字列を得る) 「1. 文字列を暗号化する(バイト配列を得る)」 Java Tips:手軽に暗号化・復号化するには? このページにばっちり解説してあるとおりです。 import javax.crypto.Cipher; import javax.crypto.spec.SecretKeySpec
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Secure Transport | Apple Developer Documentation
iPhone Application Programming Guide: Supporting High-Resolution Screens
パコパコママ期間限定スペシャルー無料お試し開始!