「メールアドレスのルール」なんて使ってはいけない3つの理由 - めもおきば
定期的に繰り返される話題ですがまた盛り上がっているのできちんと書いておきます。 「通るべきメールアドレスが弾かれると激おこ」という前提で話を進めます。 問題点1. メールアドレスに関して、RFCなんてそもそも守られていない 2009年以前に登録されたDoCoMo携帯のメールアドレスなど、quoted-stringじゃないのにピリオド連続するものが実在している以上、彼らを許容するべきです。 今そこにある実装 >>(越えられない壁)>> RFC です。 問題点2. メールアドレスの国際化 @の左側(addr-spec)でUTF-8を利用できるようにするRFC5335が発行されています。これにより、通すべき文字が一気に増えます。 RFC5335 Internationalized Email Headers JPRSが国際化電子メールアドレスの標準化活動に貢献 / 株式会社日本レジストリサービス
XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス
メールアドレスの「ルール」に関する話題が盛り上がっていますね。 「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を 「メールアドレスのルール」なんて使ってはいけない3つの理由 これらのエントリに異論があるわけでありません。メールアドレスに関するルールというとRFC5322などがあるものの、現実の運用では簡易的な仕様を用いている場合が大半である…という事情は、私も以前ブログに書きました。、 本稿では、「空前のメールアドレスのルールブーム(?)」に便乗する形で、RFC5322に準拠したメールアドレスで、XSSやSQLインジェクションの攻撃ができることを紹介します。と言っても、SQLインジェクションについては、過去に書きましたので、本稿では、RFC5322バリッドなメールアドレスでSQLインジェクションとXSSの両方ができるメールアドレスを紹介します。 まず、攻撃対象として、以下
「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を - 若くない何かの悩み
メールアドレスのルールのまとめ系のサイトの内容が間違っています。 なので、この類のまとめは安易に信じないように 、という注意喚起をしておきます。 追記(2013/11/27) twitterやはてブをみていたところ、「ユーザーへの啓蒙という観点ではまとめの内容間違ってない」というご意見をたくさんいただきましたので、補足をしておきますね。 どうも「ルール」と「トラブルを避けるためのガイドライン」が混同されているように思います。まとめで紹介されている内容がユーザ向けの「ガイドライン」なのであれば、「+ 記号使わせてよ」ぐらいしか文句はありません。 ですが、ほとんどのまとめは上記の内容を「ルール」として説明しています。ひどいものにはRFCに基づいてまとめを書いたようにミスリードさせる記事もありました。このような現状を憂い、このような記事を書いたのです。 そもそもこれに気づいた発端は@kusano
『日本語の妥当性チェックを追加するには? (独自のチェックの追加の仕方)』
Java Springの逆引きメモJavaのSpring frameworkのメモを書いていきます! 初心者の勉強ノートなので間違いがあるかもしれませんが、何かヒントになることがあれば幸いです。 前までの記事でSpring Modulesの使い方はだいたい大丈夫かと思います。 で。 実はこの機能は海外で作られたものなので日本語を判定する機能が無いのです。 つまり自作して設定しないといけません。 ここでは、自作のチェックの追加の仕方を見てみましょう! 題材は日本語のチェックです。 設定などは以前の記事を見てもらうことにして追加の仕方でけ見てみましょう。 記事⇒ ・SpringModulesの機能について 【注意点】 最初に注意点を確認しましょう! WEBなので必ずスレッドセーフに作ります。 これは忘れがちなので絶対に気をつけてください。 【チェックのクラス(/src/util/Validat
オープンリダイレクタ脆弱性に気をつける - 素人がプログラミングを勉強していたブログ
たまたま通販サイトを見ていたらログインページに脆弱性を発見したので、書いておく。 下記サイトのサポート部門から、システム部門に問い合わせて早急に調査するとの連絡があった。 16 June 2014: 脆弱性を確認したので今日か明日中に修正し修正が終わったら連絡するとのメールが来た。 18 June 2014: システム改修が終了したとのメールがあった。 報告済みであるがまだ修正されていないので、ドメインは仮にwww.******.jpとしておく。 https://www.7netshopping.jp/esi.svl?start&CID=ESI997&r_url=http://www.7netshopping.jp.example.com のように、ドメインのバリデーションを先頭一致で行っていたため、末尾に.example.comなどとつけると、ログイン成功時にユーザを任意のドメインのサイ
JSR 303 Bean Validationで遊んでみるよ! - Yamkazu's Blog
その名のとおりJavaBeansの為のValidationの仕様であるJSR303ですが、近頃でもないですがHibernateはもちろん、その他SpringやOvalなどの周辺フレームワークの対応が進んでずいぶん使いやすくなってきました。 ところでアプリケーション作っててValidationの仕組みって毎回悩みませんか?私がJavaでWebアプリケーションつくりはじめた頃なんかだとStruts1.xが全盛期でvalidation.xml、validation-rule.xmlとか使って書いてましたが(今考えれば二度とやりたくないですねw)、今でも毎回どのチェックをどのレイヤ(アプリケーションレイヤ?ドメインレイヤ?)に持たせるかとか、データストアに問い合わせしないといけないValidationって画面の入力だけでチェックできるのとどう管理しようかなとか、色々と悩むこともしばしばです。最近D
アノテーション「@Validated」と「@Valid」 - タツノオトシゴのブログ
BeanValidation(JSR-303)のアノテーションとして「@Valid」がありますが、これは、Spring MVCでControllerでCommandに対して値を検証したい場合に利用できます。 また、Spring自体にも似たアノテーション「@Validated」(org.springframework.validation.annotation.Validated)が存在します。 ただし、@Validatedは、Spring3.1から追加されたものです。 違いは、Springの「@Validated」では、グループが指定できるということです。 Spring MVCでは、通常は「@Validated」を使用するべきですが、公式のマニュアルを見ると、@Validatedではなく@Validでサンプルが説明されています。 import org.springframework.ste
5.5. 入力チェック — TERASOLUNA Global Framework Development Guideline 1.0.0.publicreview documentation
5.5.1. Overview¶ ユーザーが入力した値が不正かどうかを検証することは必須である。 入力値の検証は大きく分けて、 長さや形式など、文脈によらず入力値だけを見て、それが妥当かどうかを判定できる検証 システムの状態によって入力値が妥当かどうかが変わる検証 がある。 1.の例としては必須チェックや、桁数チェックがあり、2.の例としては 登録済みのEMailかどうかのチェックや、注文数が在庫数以内であるかどうかのチェックが挙げられる。 本節では、基本的には前者のことを説明し、このチェックのことを「入力チェック」を呼ぶ。 後者のチェックは「業務ロジックチェック」と呼ぶ。業務ロジックチェックについては ドメイン層の実装を参照されたい。 本ガイドラインでは、基本的に入力チェックをアプリケーション層で行い、 業務ロジックチェックは、ドメイン層で行うことをポリシーとする。 Webアプリケーショ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Displaying "application-specific" validation errors in web UI using Thymeleaf's "fields.hasErrors"