REVSYS
Our experience is your advantage. We offer technical support and consultation for complex open source systems. "En-Rich" your Python testing Test output is often an afterthought. You can improve your flow and slightly gamify your bug hunting by combining the wonderful Rich Python library and pytest. Read more... pytest fixtures are magic! Fixtures are building blocks for good tests and can increas
高木浩光@自宅の日記 - 攻撃者視点ではなく開発者視点での解説を
■ 攻撃者視点ではなく開発者視点での解説を 8月に@ITに「機密情報に合法的に近づけるWebアプリケーションを守れ」という記事が 出ていた。 タイトルからして意味がわからない。「合法的に近づける」とは何だ? 英文 の直訳か何かか? その連載第2回「多様化するWebアプリケーションへの攻撃」が今日掲載されたのだが、問題を正しく理解し ないまま書かれた記事と言わざるを得ない。例えば次のように書かれている。 この例では、「userid=-20298745283」がクエリストリング にあたる。クエリストリングはURL内に含まれているため、誰でも見ることが できる。従って、ユーザーのちょっとした出来心やいたずら(例えば 「この数字の最後を1つだけずらせばどうなるかなー?」) によって、脆弱性が露見することも多い。 この例であれば、誰が見ても明らかなように、「userid」のパラメー タがユーザー管理
満足せる豚。眠たげなポチ。:Rolling on Ruby on Rails - Japanese Translation - p1
見知らぬ極東のRubyistへ丁寧で親切な対応をしてくれたCurtとONLamp.comへ最大級の感謝を込めて。 元記事はこちら。(You can read the original article from here!) nak2kさんからのご指摘で、リンク先を修正しました。'Seeing is Believing'の箇所の表記を修正してみました。どうもありがとうございました。 kdmsnrさんからの情報で、リフレクションによるRailsの自己解析の辺りの話が理解できました。文章修正しました。どうもありがとうございました。 おおやさんからのご指摘で、ideaに関する訳を修正しました。どうもありがとうございました。 匿名希望さんからのご指摘で、本家でのedit.rhtmlのコードへの修正を反映しました。どうもありがとうございました。 2008.7.28 追記 Rolling with Ru
最速インターフェース研究会 :: 初心者にオススメ入門Ajaxのレビュー
正直、この本はボロクソに叩こうかと思って買ったんだけど、著者プロフィールをみるとどうやら本職の人ではないらしいのであんまり叩くのはやめた。とはいっても俺も本職の人ではなくどちらかというと無職の人なので騙されたと思って買ってください。20冊売れれば元が取れるので。(某大手アルファスパマー2.0の人は20冊以上売ったらしい) 全く関係ないけど 個人的におすすめなのはMdNのJavaScriptビジュアルリファレンスという本で、これはもっと前に紹介しても良かったんだけど、多分今出ているJavaScript関係の書籍の中で一番役に立つ。DOM関係やイベント関係も詳しくはないけれど、とりあえず全部載ってるので、一通り目を通せば何が出来て何が出来ないのかがわかる。なにで調べればいいのかわかるので、後はGoogleで調べりゃいい。 あと、WSHリファレンスのHTMLヘルプを手元に置いておくと便利。 ht
最速インターフェース研究会 :: Amazonのカートが仕様変更してるっぽい
http://www.drk7.jp/MT/archives/000942.html エラー画面がしばらくほっとけば直るようにも読めるんだけど多分仕様変更だと思う。なんかAmazletのカートに入れるボタン動かなくなってるし、はてなのも動かなくなってるな。他にも動かなくなってるアプリがちらほら。GoogleのデフォルトエンコーディングがUTF-8になったときのことが思い出されるような。 あくまでフォームを勝手に呼び出してるだけなので、いつ動かなくなってもおかしくはないんだけど、こういう些細な変更でも告知とか出してくれたほうが親切な気がするんだけど単に担当者がいないんだろうな。 Amazonとしては「API公開してるんでそっち使ってね、仕様変更はこっちの勝手」とか、そういう立場なんじゃないかと思う。似たような事例としてはRSS配信してるからデザインがダサくてもオーケーとか。そういう。 外部と
多様化するWebアプリケーションへの攻撃
第1回「機密情報に合法的に近づけるWebアプリケーションを守れ」では、「Unvalidated Input(許可されていない入力)」における「Hiddenフィールドマニピュレーション」の手法について説明した。いままでアプリケーションセキュリティに携わらなかった方にも、Webサイトが攻撃されるメカニズムが、意外に単純なものであることが理解してもらえたと思う。 前回の内容に対して、周囲からいくつか質問をもらった。「こんなこと書いていいのか?」というものである。つまり、誰もが簡単に攻撃を行えることを示すことによって、かえって被害を増加させるのではないか、という懸念を持たれたわけだ。今回の記事では、より多くの攻撃手法を説明していくため、本論に移る前にこういった質問に回答しておきたい。 私たちはすでに本連載で記しているような脅威の中にいる。それは、Webアプリケーションセキュリティに携わったことのあ
急速に広告媒体化するネットと、GoogleによるCGMの値付け戦略 - kokepiの日記
Googleが「Advertiser Sign-Up」という仕組みを提供開始しているようだ。サイボウズ小川氏のコラムでさっそく紹介されている。 Googleと契約している広告主は、いままではGoogleがセレクトしたサイトしか選択できなかったが、今後は好きなサイトにダイレクトに広告を出すことができるようになる。 これに関連して、WEBサイトの価格についての競りモデルの話がトラックバックされていた。 多くのwebサイトが「広告出稿の価格は要相談」になっている事に疑問は感じていて、適正価格ってのが、広告を出したい人達による入札を受け付けて落札させる仕組みで導き出せるんじゃないかと考えていた このへんの「サイトの値段」についての話は「WEB2.0」や「CGMの影響力増大」というトレンドと密接に絡んでいて、考えてみるととてもおもしろい。ちょっと三者の関係について考えを整理してみる。 「WEB2.0
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.tipmonkies.com/2005/11/17/the-penultimate-guide-to-google-services