構造化テキストの間違ったエスケープ手法について : 404 Blog Not Found
2010年09月22日21:30 カテゴリLightweight Languages 構造化テキストの間違ったエスケープ手法について 昨晩のtwitter XSS祭りは、ふだんもtwitter.comは使わない私には遠くの祭り囃子だったのですが、せっかくの自戒の機会なので。 Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について 正しいアプローチは、全てのルールを同時に適用することです。 これは残念ながら(おそらく)必要条件であっても十分条件ではありません。 こういう(かなりええかげんな)正規表現でtweetをparseしていたとします。 re_http = '(?:https?://[\\x21-\\x7e]+)'; re_user = '(?:[@][0-9A-Za-z_]{1,15})'; re_hash
型を意識すればまともなコードが書けるし、通常の文字列とHTML文字列は別の型です - <s>gnarl,</s>技術メモ”’<marquee><textarea>¥
Twitter風URL自動リンクの話(関連: Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について)。 あの問題では、関数のシグネチャを expandString(String):String 、「文字列を受け取って文字列を返す関数」としているが、これはあくまで実装上の都合。実際には「プレインテキストを受け取ってHTMLを返す関数」であって、引数と帰り値のドメインはまったく異なっている。ということを踏まえると以下のコードがどれだけひどいのかわかろうというもの。 module Twitter module AutoLink # (snip) def auto_link(text, options = {}) auto_link_usernames_or_lists( auto_link_urls_custom(
世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった?
世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった?2010.09.22 10:305,076 satomi これは今朝世界中を席巻したTwitterバグにやられたブラウン元英首相夫人のTwitter公式サイト。巨大な英文字「h」が出て、日本のポルノサイトに自動リンクしてます...なんとまあ...。 ツイッター公式Webでリンクをマウスオーバーすると、フォロワーにスパムやポルノがリツイート(RT)されちゃう、この「マウスオーバーバグ」。いやあ、ひどかったひどかった。世界中にみるみる野火のように広まって一時はどうなることかと思いましたよ。 サードパーティーのアプリ使ってる人は大丈夫です(バグったRTもそっちで削除できます)が、twitter.com開いてこんな状態なっててビックリこいた人も多いんじゃ? これはTwitterのサイトにあるクロス・サイト・スクリプティング(XSS
KVSというかNoSQL - w_o’s diary
前回までのあらすじ (1 2 3 4) なんかあれ以降も週に一回くらい考えるのが習慣になってしまってるが… 一貫性云々とか言ってるのは↓こう、こういうことが言いたかったんですよ…多分…後付けだけど… http://japan.cnet.com/blog/kenn/2010/09/20/entry_27042323/ 「NoSQL」と言われてるけど、これは「クエリがリッチかどうか」「一貫性の問題にどう対応してるか」というふたつの軸に分けるべきだと思うのだよな。 すなわち、 SQL → クエリがリッチ、一貫性の制約が強い NoSQL → 単一クエリのみ、一貫性の制約が弱い と、なってるけど、「クエリがリッチで一貫性が弱い」という組み合わせが存在していてもよいと思う。「単一クエリのみで一貫性が強い」という組み合わせは必要かどうかわからんけど… この区別を実現するためには、どのようなAPIがよいか
ユースケースの80%をカバーしたとき、もうすぐ終わりそうな気分になるけどそのときの実際の作業の進捗率は20%ぐらい - w_o’s diary
80:20の法則はポジティブな文脈で語られることが多いけど、ネガティブな文脈でも使えるなーと思った。 20%の声が大きい人の為に80%ぐらい疲れる 20%ぐらいのどうでもいい問題が後々大変なことになる確率が80% 見積り3倍の法則というのがあるが、あれは、80:20気分の線を外挿すると、なんかうまいことフィットするんではないかと思う。
昨日騒ぎになったTwitterのXSS脆弱性によって実際に受けそうな被害とその対策 - monjudoh’s diary
何が出来るのか どんな脆弱性かの詳細はこちらを参照2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について 外部JavaScriptを読み込むコードを仕込めたので、 どんなJavaScriptでも実行できる状態でした。 以下、JavaScriptの実行によってTwitter上で出来る事。 セッションハイジャック JavaScriptからcookieを参照できるのでログイン状態のセッションIDも参照できます。 また、任意のJavaScriptが実行できる以上、参照したセッションIDを攻撃者のサーバ等に送信することも出来ます。 攻撃者は奪ったセッションIDをcookieに設定すれば、被害者のアカウントでtweet,direct messageの閲覧・送信が出来ます。 確認してみたところ、ログイン状態のセッションIDはログアウトしても無効にはなりません。 設定→パスワードからパスワ
asahi.com(朝日新聞社):最高検、主任検事を証拠隠滅容疑で逮捕へ 郵便不正事件 - 社会
郵便割引制度を悪用した偽の証明書発行事件をめぐり、押収品のフロッピーディスク(FD)のデータを改ざんしたとして、最高検は21日夜、大阪地検特捜部でこの事件の主任検事を務めた前田恒彦容疑者(43)を、証拠隠滅の容疑で逮捕する方針を固めた。 朝日新聞が21日朝刊で疑惑を報じたことから、最高検が捜査に乗り出していた。 朝日新聞が入手した特捜部の捜査報告書などによると、FDは昨年5月、厚生労働省元局長の村木厚子氏(54)=一審・無罪判決=の元部下の上村(かみむら)勉被告(41)=虚偽有印公文書作成・同行使罪で公判中=の自宅から押収された。自称障害者団体が同制度の適用を受けるため、上村被告が2004年6月に発行したとされる偽の証明書の作成日時データなどが入っていた。 特捜部は証明書の文書の最終更新日時を「04年6月1日午前1時20分06秒」とする捜査報告書を作成。FDは押収の約2カ月後にあたる
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
2010-09-21
FizzBuzzより実用的なプログラマ向け面接問題考えた - gnarl、技術メモ<s>ho<marquee>ge’”¥ TwitterのURL自動リンクみたいな機能を実現する関数expandString(String):Stringを実装しなさい(言語自由) 良問 Ben Alman » jQuery special events jQueryのイベントAPIまとめ。 イベントリスナー Safety (safety) on Twitter Twitterの脆弱性報告連絡先アカウント ところで Firefox4で搭載される JägerMonkey ってなんて読むの? - 今日もスミマセン。 JaegerMonkeyの読み方。 「イェーガーモンキー」 BackupURL.com - Back Up Any URL! Web魚拓サービス。 ウェブページのキャッシュ保管サイト Pent
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Loading...
https://i.gyazo.com/a1fd966a9f5c0ba8a762057be3cb1dbf.png