こんにちはこんにちは！！ 今日はCSRF脆弱性のちょっとした話です！ このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → ［はまちちゃんのセキュリティ講座］ここがキミの脆弱なところ…！ ： 第2回 しーさーふって何ですか？ CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対

こんにちはこんにちは！！ Webプログラミングしてますか！ よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます！ 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる！ 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです！ (NG) あなたの名前は <?= $name ?> ですね！ ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>

こんにちはこんにちは！！ さいきんめっきりフェイスブック漬けのはまちやですこんにちはー！ ところでfacebookでは最近「アカBAN祭り」というものが行われているらしくって、 実名かどうか疑わしい人を対象に、 次々と予告なくアカウントが停止されていってるようなのです＞＜ あの「ホームページを作る人のネタ帳」の人や、 はてなでおなじみの id:kanose さんまでもが停止されたとか…！ → (参考) Facebook、春の垢BAN祭りが始まったよ！ そんなこんなで、ぼくも本日早朝いよいよアカウント停止されちゃいました！ でも、わりとあっさりと復活できたので、 その手順をメモしておきますね！ なにかの参考になれば…！ 1. アカウントが停止されたら ログインしようとするとこんな画面になります…＞＜ 2. facebookのフォームから申請しよう！ → Facebook「僕と契約して、実名に

こんな記事があったので 脆弱性報告の謝礼を「はてなポイント」や「カラースター」で代用するという風習がある XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会 さっそく報告してきたよ。 レアスター楽しみだなー。 (追記) ウソ技でした…ひどい…。

こんにちはこんにちは！！ 今日、はてなの人気記事を見ていてこんな記事がありました…！ ちゃんとセキュリティのこと考えてますか･･･！？ 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしｗｗ』 いいんですいいんです！ 別にそう思ってるならどうでもいいんです！ でもそんなプログラムをWeb上で公開すんじゃねーよボケと。 PHPで誰でも簡単Webサービス製作！でなんか作って公開した奴ちょっと来い - 甘味志向＠はてな ふむふむ、PHPで簡単につくっちゃうのは良いけど、 公開するのなら、ちゃんとセキュリティホールなくしてからにしましょうね って記事ですね！ でもぼくは、この記事を読んでも… なぜXSSがいけないのか 結局よくわかりませんでした…。 いちおうXSS脆弱性があるとダメな理由として、下のようなことが書かれてあったんだけど… フォームに入力したHT

深夜に… こんにちはこんにちは！！ 本日ひっそりとベータテストがスタートした 新はてなハイク ( http://h2.hatena.ne.jp/ ) なんだけど これって招待制らしくて、招待状が届かないことには中に入れないらしいんです…！ (アクセスしても http://h2.hatena.ne.jp/x に飛ばされるだけ) 残念… …と、思いきや…！ 招待されなくても中に入る方法が、ちゃんと用意されていたみたいなので、 ここで、わかりやすくお伝えしておきますね！ (もしかしたら朝には仕様変更されているかもしれないから、興味があるなら早めにやっておいた方がいいかも？) http://h2.hatena.ne.jp/(自分のID)/setting.body_type にアクセス 「からだをえらぶ」という画面になるので、適当なものにチェックをつけて「着替える」ボタンを押す あとは「マイページ」

こんにちは！ サンシャイン牧場ってあるよね。 mixiアプリの中でダントツにユーザーを集めてるゲーム。 すでにユーザー数が…200万人！ すごいですね！ これどんなゲームかっていうと、開始すると自分の牧場がでてきて、作物に水をやったりして育てて、実った作物を売る。 売って得たコインで自分の牧場の拡大をしたり、マイミクとランキングを競うこともできる感じの、いわゆる牧場ゲームと呼ばれているもの。 実際やってみるとシンプルで、あんがい面白くて、疎遠になっていたマイミクさんの牧場にも遊びにいったりして、結構面白い。 で、先日これのアイテム課金がはじまったみたいで… お金を払うと「高級肥料」のような、作物が育つ時間を短縮できるアイテムだとかが買えるようになったみたい。 あ、一応、いままで遊べていた部分は、そのまま無料で遊べるんだけどね。 ところが… アイテム販売開始後のサンシャイン牧場コミュニティを

今回は、ぼくなりの読みやすいと思うよみものについてです…！ こんにちはこんにちは！！ ぼく、はてなの人気エントリーとか時々眺めていて、 そこから誰かのブログとかを見に行ったりするんだけど、 なんかいつも、ちゃんと最後まで読めないことが多い感じなんです…！ よめない…というか、しんどくなって途中で読むのをやめちゃう感じというか…！ すごい興味深そうなこと書いてあったりもするのに…。 あ、もちろんちゃんと普通に読めるやつもありますよ！ あるんだけど…、 なんでこんなにも、しんどくて読めなくなる文があるんだろう？ …なんてことをぼんやり考えてみたんですが！ ああ、そっか、ぼくは ３行以上あるブロックを読むのにしんどさを感じるのかもしれない…！ どうもぼくって、文が３行程度のブロックに分かれていないと、 ブロックごとの拾い読みができなくて、 それでしんどくなって、読むのをやめてしまうみたいなんだよ

こんにちはこんにちは！！ 今日は、きみの人生をちょっぴり豊かにするライフハックの紹介なんです！ ★はてなスターをもらう簡単な方法★ 1. 巨大な透過gif画像を用意 → http://hamachiya.com/junk/bt3000.gif 大きすぎる画像はIEが表示できないかもしれないから3000x3000くらいがいいかも？ 2. 用意した画像をAddボタンとして設定 設定→デザイン→詳細のスタイルシート .hatena-star-add-button-image { background-image: url(http://hamachiya.com/junk/bt3000.gif); } Addボタンが 3000x3000px(透明) になりました。 3. Addボタンを浮かせて前面に配置 .hatena-star-add-button { position: absolute;

こんにちはこんにちは！！ プログラミング言語とかマスターしてると、なんかかっこいい感じですよね！ 就職とか転職にもバッチリ有利そうだし…！ だけど難しいよね、言語とか…。 入門書とかどれだけ買ってみても毎回 Hello world どまりだし…。 なんでなんだろう？ なんでうまく覚えることができないんだろうね。 世の中には、ちゃんとプログラミングできる人がたくさんいるのに…！ うーん。 たぶんこれかな… なにか作りたいものがある または なにかを作る必要がある なんて状況以外で、マトモにプログラミング言語を習得してる人って ぼくほとんど見たことないんだけど、みなさんはどうでしょう…！ たしかに、コンピュータを教えてくれる学校に通って、ちゃんと教えてもらえればJavaだってなんだってしっかりと、その時だけは身に付くんだけど、 でもそういうのって、ほんとに「その時だけ」なんだよね…。ほとんどの

こんにちはこんにちは！！ こんなニュースがありました…！ 海外の児童ポルノ・アドレス掲載、１９歳私大生ら摘発 : 社会 : YOMIURI ONLINE（読売新聞） 404 Blog Not Found:news - URLを掲示しただけで刑事犯? 痛いニュース(ﾉ∀`):“２ちゃんねるなども摘発対象に” ＵＲＬ書くだけで逮捕、「ｔｔｐ：」などでもアウト…児童ポルノ法 たいへんな感じの世の中ですね！ なんかこういうのって、ぱっと思いつくのは冤罪が生まれちゃう可能性…なんだけれど、 むしろ捕まえる側が、これまでよりさらに簡単に「好きな奴を捕まえることができる」ってことが、 問題っぽい感じなのかなぁ、なんて思います…！ はい。 そんなわけで、なにかの役に立つかなーなんて思って、 とりあえず、時限式の短縮URL(転送URL)サービスみたいなのをつくってみました！ TimerURL - 時限式の短

こんにちはこんにちは！！ ところで先日から、はてなブックマークの詳細ページが、 Googleからペナルティ食らってるような気がしてならないんだけど…！ (本当にそうなのかどうかはちょっと自信ないので、誰か詳しいひと調べてみてください…！) どうなんだろう？ あ、なぜ、ぼくがそう思ったかについては、以下の方法を試してみてね！ ・Googleの検索欄に「site:b.hatena.ne.jp 」と入れて… ※b.hatena.ne.jp配下のみ検索という意味 ・さらに続けて、昨日とか一昨日の、最近人気エントリーの上位に入っていた記事のタイトルを適当に入れて検索すると… → site:b.hatena.ne.jp ちょっと知識と勇気があれば誰でも職質は断れます！ - Google 検索 ・以前なら、もちろんその記事のはてなブックマーク詳細ページが一番に出たはず… (参考画像 2009/06/09

こんにちはこんにちは！！ 最近nanacoなんていう電子マネーのカードを手に入れて、 コンビニ利用率がちょっぴり高まりつつある感じのはまちや２です！ こんにちは…！ ところで、うちの近所って、スーパーとコンビニがあるんだけど…、 みんなはどっちをよく利用しますか！ うちの近所の場合だと、どちらも24時間営業だし、どちらも歩いてほとんど同じ距離。 それで、値段はスーパーの方がけっこう安いんだよね。 品揃えもスーパーの方が断然いい。 それなのに、ぼくはいつも、なんとなくコンビニばかり使ってしまうよ。 なぜなんだろう。 たぶんスーパーって、ちょっとめんどくさいのかな…！ スーパーのなにがめんどくさいって… ・むだにひろい 必要なものが、こじんまりとまとまってるほうが好きなんですぼく、店も町も…！ ・レジで並ばなきゃいけない スーパーってひとりひとりが沢山買うからかな、たいてい並ぶんだよね。 逆に

こんにちはこんにちは！！ ブログしてますか！！！ やっぱりブログしてるからには、 いつかはアルファブロガーだとか、カリスマブロガーだとか呼ばれてみたいものですね…！ さて今日は、人気のブログについて、 ちょこっとだけ思ったことを書いてみますね…！ はい！ ダンコガイっていう有名なブロガーがいるんですが！ ご存知でしょうか…！ もちろんみんな知ってるよね！ はてなブックマークの人気エントリー一覧とかでもしょっちゅう見かける あのヒゲのおじさんです！！！ で、以前、誰かが、そんなダンのブログをみて、 こういうことを言っていたんだけど… 「あの記事は、ダンコガイが書いているから人気なんだよな〜」 …、と。 え、なんだろうこの違和感…！ あ、これって前にぼくがこう言われた時と同じ感覚かも…？ 「はまちやって得だよなー、 だってなに書いても、はてなブックマークがいっぱいついて人気記事になるじゃん」

ってことを知人に言われちゃいました…！ …こんにちはこんにちは！！ 「ね、ブログ書く人ってなんでお金になることをタダで書くの？」 ははは。 「その知識、セミナーとかにすれば儲かるのに…」 なるほど、そうかもしれない…。 なんでだろう、ぼくにとっては、べつにお金儲けが一番じゃない…からかな。 （ちょっとは広告を貼ったりもしてるけどね） けっして、世のため人のためなんていう崇高な理由じゃないよ。 たぶん、どちらかっていうと自分のため…。 あ、 他にも理由があった。 それは… 「知識そのものが単純にお金に変わるわけじゃない」っていうのも、あるかな。 うーん。 たとえば仮に、ぼくがセキュリティの知識のスゴイ人だったとして… いまここで「はまちやくんのセキュリティセミナー」なんてのを開催したとしましょうか…！ あるいは「SEOセミナー」なんてのでもいいね。 どうだろう。 人、来てくれるかな。 うん。

こんにちはこんにちは！！ こんなにじめじめと暑い季節には… そう！ コミュニケーションとかについて、ちょっと考えてみたりしてみましょうか！ はい！ ネット上で何か発言する時って、 ２つほど「恐いこと」があると思うんだけど、どうでしょう…！ うん、なにが恐いのかって言うと、 ・否定されること ・スルーされること とかかな…。 あ、もちろん内容によっては反論大歓迎みたいなのもあるよね。 だけど基本的には、否定されることってやっぱり嫌なことなんじゃないかな…！ じゃあ逆に嬉しいことはなんだろう？ たぶん、肯定されることだよね。 もっと良いのは褒めてもらえることかな。 あいつスゲー、って。 ってことは、 「恐いこと」が発生しにくい立場で、 「嬉しいこと」になっちゃうかもしれないようなコミュニケーションができれば最高ですよね！ ちょっと悪い言い方をすると、 (反論されにくい) 安全な位置から他人への

はい！こんにちはこんにちは！！ もうすぐ梅雨ですね！ 2009年も半ばって感じです…！ 2009年といえば…、 そう！ マネタイズですね！！ はてなのマネタイズ！！ マネーだいじ…！ だってお金がなくなっちゃうと、みんなの大好きなはてなもなくなっちゃうもんね…。 そうそう、ところで！ ぼくさっきGoogleで検索していて、ちょっとしたことに気がついちゃったんですが！ 今日はちょっとそれを、ここにメモしておきますね！ ↓ほらこれ、 site:b.hatena.ne.jp エゴサーチしよう - Google 検索 はてなが URLの末尾にタイトルの文字列を含めてる。 あれれ…、前からこうだったっけ…！ URLにキーワード文字列を含めてやるのって今のところものすごく強力なSEOのひとつで、 Amazonとかもその手法をつかっているからか、 本のタイトルなんかで検索すると、よくAmazonが一番上

こんにちはこんにちは！！ 今日もげんきにエゴサーチしてますか！ エゴサ、楽しいですよね…！ 特にブログ書いた後だとか、なにか事件を起こしちゃった時なんかは 世界のみなさんはどんな反応してるのかなーなんて気になって ついつい夜通しエゴサーチしちゃいますよね！ さて！ みんなはふだん、どんなやり方でエゴサしてますか！ やっぱり思い立った時のgoogle検索かな！ それともgoogleアラートとか…！ ぼくはやっぱりあれです！ 各種ブログ検索のフィードと、Twitter検索のフィードで…！ ほら、ふつうはたぶんブログ検索とかって、あまり使わないですよね！ だけどブログ検索って、エゴサにはぴったりなんですよ！ なぜって普通の検索とちがって、 検索キーワードを含む記事を時系列にだしてくれるから…！ 検索対象はブログっぽいページに限定されちゃうんだけど、わりとそれで十分な感じです！ これ特に検索結果の

こんにちは！ はてなの新機能だそうですね！ Myはてなにお気に入りユーザーの最近の活動が見られるアンテナ機能を追加しました http://hatena.g.hatena.ne.jp/hatena/20090409/1239270576 ふむふむ。 好きなあの子の、はてな内での行動履歴が、まとめてチェックできちゃう…と。 0:00 に花子ちゃんが、こんな日記かいて… 0:05 に花子ちゃんが、ここにコメントかいて… 1:23 に花子ちゃんが、こんなブックマークして… なんて情報が一目でわかるようになったとか！ これはべんりですね！ でも、ブックマークのコメントを見てみると… わ！ 晒しだとか、ストーカーだとか、ひどい言われよう… これ、ぼくが少し前に書いた↓この状況とちょっと似ているね。 geekと女の子的感覚の違い 仮想geek的女子による女の子的感覚の代弁 これ、なんでこんなに、人と人と