対策遅らせるHTMLエンコーディングの「神話」
クロスサイト・スクリプティングという言葉は元々,WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では,HTMLのエンコードによる画面改変などを含むこともある。 前回述べたように,クロスサイト・スクリプティングのぜい弱性はWebアプリケーションに見付かるぜい弱性の半分以上を占める。数年前から指摘されているにもかかわらず,一向になくならない。その理由として,クロスサイト・スクリプティング対策あるいはHTMLエンコード注1)に対する「神話」があり,正しい対策の普及を遅らせているように思う。その「神話」の数々について説明しよう。 注1)実体参照(entity reference)というのが正式だが,あまり普及していない用語なので,HTMLエンコードという用語を用いる 「すべからくHTMLエンコードすべし」が鉄則 HTM
[R30]: PVではなくFeedがウェブの価値基準になる?
今年初めぐらいからあちこちで言われていたことが少しつながったような気がしたのでメモ書き。 気になっていた1つめは、こちらのブログでさりげなく書かれていた話。ページビュー(PV)とかリーチで見た日本のインターネットの伸びが、今年第1四半期で頭を打ったというもの。 こちらのブログでは「インターネットが右肩上がりである、というオプティミズムは、意外に早く崩壊するかも」と、ネガティブなファクトと受け止めていたのだが、僕自身は何か腑に落ちないものを感じていた。実感として、日本人のネット利用時間がここに来て減り始めているという印象はない。 まあ、6月末になれば総務省の情報通信白書が出てくると思うので定量的なものが明らかになるだろうが、今年初めからのYouTubeの大人気ぶりなどを見ていても、むしろ情報メディアとしてのネットの勢いは、ここに来て一気に加速し始めたというほうが感覚値的には正しい。 じゃあど
![[R30]: PVではなくFeedがウェブの価値基準になる?](https://cdn-ak-scissors.b.st-hatena.com/image/square/ca4c1668addd937635f304418d0e1b58fc22d03c/height=288;version=1;width=512/http%3A%2F%2Fshinta.tea-nifty.com%2F.shared-cocolog%2Fnifty_managed%2Fimages%2Fweb%2Fogp%2Fdefault.png)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
