TechCrunch | Startup and Technology NewsWelcome back to TechCrunch’s Week in Review — TechCrunch’s newsletter recapping the week’s biggest news. Want it in your inbox every Saturday? Sign up here. OpenAI announced this week that…
セキュリティ専門家でも間違える!文字エンコーディング問題は難しいのか?
(Last Updated On: 2018年8月13日)一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。 その間違いとは 意図の取り違い – 誤読 言語の仕様と実装の理解不足 HTTPやPHP仕様の理解不足 セキュリティ対策をすべき場所の理解不足 です。(※0) 徳丸さんは非常勤とは言え、国の出先機関の研究員であるし、その出先機関は職務放棄とも言える文書(「例えば、PHPを使用しない」と勧める文書)を公開している(いた?)のでしっかり反論しておく必用がありますね。IPAのあの文書は職務放棄と言える文書だと思っています。これについても後で意見を述べます。 意図の取り違い – 誤読 最初の間違いは私のブログのエントリ「何故かあたり前にならない文字エンコーディングバリデーション」に対する理解です。特にPHPユーザに
【ハウツー】Webデバッガに新星登場!? 操作を記録し、イベント/DOMを一発解析 - FireCrystal (1) FireCrystalとは | エンタープライズ | マイコミジャーナル
複雑な機能をいくつも実装したWebアプリケーションのデバッグはツールなしでは一苦労だ。Ajax処理やこまかいイベント制御・DOM操作をおこなっている箇所でバグを出してしまった日には、解析だけで大変な時間を割かなければならない。 そんなときは、FireCrystalを使えば解決するかもしれない。ユーザの操作を記録し「どのタイミングで」「なにがおこなわれているか」を一発で表示してくれる便利なアドオンだ。 本稿では、そのFireCrystalについて紹介しよう。 FireCrystalとは Stephen Oney氏は8月21日(米国時間)、Firefox上で動作するアドオン「FireCrystal」をリリースした。FireCrystalはThe MIT Licenseのもとで公開されている、Webデザイナ・デベロッパ向けのデバッガ。Webページ上でユーザの操作を記録し、内部でどのようなイベント
拡張ユークリッド互除法
ユークリッドの互除法は最大公約数を計算する効率的な方法として古くから知られている方法です。 これについては,ユークリッドの互除法の項で説明しました。ここでは,その発展系の一つで色々なところでよく使われている,拡張ユークリッド互除法について説明します。 ユークリッドの互除法は2つの自然数 x,y の最大公約数を効率的に計算する方法でした。 例えば,GCD(13,5) を計算するのに, 13=2*5+3 5=1*3+2 3=1*2+1 2=2*1 を求めて,GCD(13,5)=1 とするものでした。今の場合この計算は,全く自明で,互除法は不要な感じがします。しかし,少し視点を変えるとそうとも言えません。上の式のうち最後の項を除いて,それぞれ,移項すると, 13-2*5=3 5-1*3=2 3-1*2=1 が得られます。ここで,3行
拡張版ユークリッドの互除法
よくある問題 ところで問題です。29リットル入るバケツと17リットル入るバケツがあります。この2つのバケツを使って、別のバケツに1リットルの水を入れなさい。 頭の軟らかさを競うテレビ番組でおなじみですね。これが蚊取り線香になったり縄になったりしますが、すべて同じ問題です。この問題は頭の軟らかさは関係がありません。ユークリッドの互除法を知っているかどうかで決まります。知識の問題です。多くの場合、「頭のやわらかさ」というのは宣伝文句であり、そこにはなにがしかの法則・アルゴリズムが存在します。 この問題の本質は、以下の数式で表すことができます。 29x + 17y = 1 となる(x,y)の組を見つけること このとき、(x,y)のどちらかは必ず負です。当たり前ですが。 拡張版ユークリッドの互除法の実際 ちょっと気づいてほしいのですが、もし、この問題が正しいのならば、全ての数は 29 と 17 で
PHP以外では: 既にあたり前になりつつある文字エンコーディングバリデーション - 徳丸浩の日記(2009-09-14)
_既にあたり前になりつつある文字エンコーディングバリデーション 大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、 チェック担当はアプリケーションか、基盤ソフト(言語、フレームワークなど)か 入力・処理・出力のどこでチェックするのか という点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。 たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ
Kansai.pm#10 での発表資料 (Thrift について) - naoyaのはてなダイアリー
今日は第10回 Kansai.pm でした。自分も 10 分だけ、Thrift について発表を行いました。資料を以下にアップロードしました。 http://bloghackers.net/~naoya/ppt/080810kansaipm.ppt (ppt) http://www.slideshare.net/naoya1977/about-thrift/ (Slide Share) Thrift については今月末発売の WEB+DB PRESS Vol.46 の連載記事でも解説を行っていますので、興味のある方はご一読いただければ幸いです。 今回の Kansai.pm、場所は弊社オフィスで開催でした。閉会後そのままピザを取って懇親会に。なぜか id:azurestone さんらと Linux セキュアOS についての話題で盛り上がっておもむろにカーネルのコードリーディングが始まったり、こち
Thriftインストールメモ - nokunoの日記
かな漢字変換エンジンのような複雑なソフトウェアの開発には、シンプルなLAMPのアプローチだけでは限界があると最近は感じています。以前SWIGを使ってAnthyのライブラリをPHPから使えるようにしたのですが、SWIGのような拡張モジュールによる連携ではスクリプトが呼ばれるたびに初期化が必要となる、という問題点がありました。 というわけで多言語RPCフレームワークであるところのThriftを使ってみることにしました。まずは以下のページから本体をダウンロードします。Apache Thrift次に公式Wikiを参考に、本体と利用言語ごとのインストールを行います。FrontPage - Thrift Wiki以下のページのサンプルを実行してみます。Ubuntu 8.04 で Thrift を試してみた - なんとなく日記やり方はURLの通りですが、PHPの場合が紹介されていなかったので、thrif
騒がしい未来 » Blog Archive » [SBM研究会]第3回ソーシャルブックマーク研究会 Ust 資料まとめ
ムチャクチャ面白いイベントでした。会場も浮世離れせず、使い回しのプレゼンもなく、ガチな感じが強くてよかったです。 プレゼン資料置き場 http://homepage3.nifty.com/toremoro/study/SBM3.html ■プログラム 10:10-10:50 SBM研究会:エコメンデーション 講師:佐々木 祥 ,上村 理(東京工業大学 博士課程、修士課程) 11:10~11:50 SBMの推薦アルゴリズム ~はてなブックマークのレコメンド(関連エントリ)の仕組み~ 岡野原大輔 PFI 特別研究員 13:00~13:15 SBMはミニブログです。: 福冨 諭(Webプログラマ) SBM研究会 13:15~13:45 SBMを利用したフィッシングサイト検知とその展望 -集合知セキュリティという考え方- :中山心太(NTT研究所) 13:45~14:15 言語表現に基づくブックマ
中国の剰余定理
m1,m2 を互いに素な正整数(即ち最大公約数が1)とする。a1,a2 を整数する。 このとき, x ≡a1 (mod m1) x ≡a2 (mod m2) を満たす整数 x が m1m2 を法にして唯ひとつ存在する。 この定理が中国の剰余定理と言われるのは,2世紀頃の中国の算術書「孫子算経」にこの性質の記述があることに由来します。そのことからまた孫子の定理と言われることもあります。 今の場合は2つの連立合同式ですが,全く同様にして,3個以上の連立合同式についての定理が得られます。この場合も中国の剰余定理と呼ばれます。 具体例挙げます。 (中国の剰余定理の証明) この定理の証明はいくつもありますが,ここでは実際の解を計算する法を与える証明を挙げます。 (一意性)x1,x2 共に解であったとすると, x1 ≡ a1 ≡x2 (mod m1) x1 ≡ a
Windows 環境下での GMP の利用法
Top > Windows 環境下での GMP の利用法 Windows 環境下での GMP の利用法 0. はじめに GCC用の多倍長演算ライブラリ GMP (GNU Multiple Precision Arithmetic Library) を Windows 環境下で利用する方法には,次の3通りがあります。 Cygwin で用意されているものを利用する MinGW の GCC に GMP をコンパイルしてインストールする Visual Studio 2005 用にパッチを当てたものをビルドして利用する 1. Cygwin で用意されているものを利用する 上記3つの方法のうち,最も簡単なのは 1. の Cygwin を利用する方法です。 Cygwin のインストーラには,LIB や Math のカテゴリ に,gmp: GMP is a free library
動きまくりの3DCGムービーが簡単に作成できる「iClone 3」、専門知識ゼロでどこまでできるかがんばってみた
3DCGを動してバリバリに動きまくるアニメーションムービー作成に興味はあるが、そもそも3Dモデリング関連の専門知識がないため、手も足も出ないままでくやしい思いをしている人にちょうどいいのがこの3Dムービー作成ソフト「iClone 3」です。 あらかじめ用意された素材を並べ、動きを付ければそれだけで3DCGアニメーションが完成してしまいます。元素材も最初から付属しているものだけでなく、ネット上にあるGoogle 3Dギャラリーから検索し、付属ソフトの「3DXchange」を使用することでいくらでも無料でゲットできるため、非常にリーズナブルです。 というわけで、実際に専門知識ゼロでどこまでできるのか、どのようなものが作成可能なのか、がんばってみました。詳細と実際に作成したムービーの再生は以下から。 iClone 3 - 3Dムービー作成ソフト http://www.ah-soft.com/ic
UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか?を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
Mobage Developers Japan
Mobage Developers Japan に登録することで、 複数のプラットフォームで、ゲームを配信することが可能になります。
30分でできる!Webサイトを高速化する6大原則 (1/4)
Webサイトを制作するとき、「パフォーマンス」を気にしたことがあるだろうか? もしまったく気にしたことがないなら、気をつけた方がいい。閲覧に時間のかかる“遅いWebサイト”はユーザーにフラストレーションを与え、閲覧をやめさせてしまう恐れがある。 下記のグラフは、「Simple-Talk」という海外のオンラインメディアで発表されたユーザー調査の結果だ。アンケートページの表示にかかる時間を意図的にコントロールし、表示時間によってユーザーが感じるフラストレーションの違いを調べたものだ。 縦軸がフラストレーション(10段階)、横軸が表示までの時間を表している。1~5秒以内にページが表示された人に比べ、ページ表示までに5秒以上かかった人は2倍以上もフラストレーションを感じている。フラストレーションがあまりに高ければ、せっかく何らかの目的を持って訪れてきたユーザーも待ち切れずにブラウザーを閉じてしまう
今すぐに使えるリアルタイム入力チェックライブラリ·Vanadium MOONGIFT
Webフォームから飛んできた値について、入力チェックを行わないということはまずないだろう。数字のところに文字列が入ったり、必須のものが入っていなかったりすることはよくある。だからこそサーバサイドのプログラムでチェックはするのだが、ユーザビリティを考えるとクライアントサイドでも入力チェックを行いたい。 リアルタイムで行われる入力チェック 入力チェックのJavaScriptを作る、なんていうと面倒な感じがするがVanadiumを使えば開発者の方でなくともチェック機能が実装できてしまう。 今回紹介するオープンソース・ソフトウェアはVanadium、jQueryを使ったクライアントサイド入力チェックライブラリだ。 Vanadiumは入力項目のクラスでチェック内容を指定するようになっている。そのためVanadiumさえ読み込めば、HTMLを変更するだけで入力チェックが実装できるようになる。入力必須や
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
Microsoft、Bingに画像で探せる「Visual Search」機能を追加
Reverse engineering Charange 2008 -イベント情報:NetAgent Co., Ltd.
長文日記