WebGLの(実質的に)仕様上の脆弱性について(日本語訳) - ものがたり(旧)
WebGLの(実質的に)仕様上の脆弱性が見つかったとされて、話題になっています。元はContext Information Security社のブログの記事なのですが、 http://www.contextis.co.uk/resources/blog/webgl/ 日本語でもかいつまんで紹介されています。 http://japan.cnet.com/news/service/35002505/ とはいえ、これじゃ何だか意味が分かりませんし、原文はなかなか簡単には読めないと思うので、ちょっくら日本語訳してみました。全体的にやっつけながら、後半は特に寝ぼけながら訳しているので、何かおかしいところがありましたらコメント等で教えて下さいませ。翻訳許諾は明日辺りお願いしてみようと思います。(ダメって言われたら消す)→もらいました。調査の次のラウンドが終わったらまた結果を教えてくれるみたい。 追記:
Canonical XML 1.1 - ものがたり(旧)
今まで全然知らなかったんだけど、そんなものが出ていたのね。 http://www.w3.org/TR/2008/PR-xml-c14n11-20080129/ 大昔に僕が気付いたxml:idとのc14nの相性問題を解決しているそうで。他にもxml:baseの相対URLついての問題も解決しているようだ。その辺はKnown Issues With Canonical XML 1.0とかいう文書でまとめていたみたい。 懸案のXML名前空間に属する属性の処理については、 "Attributes in the XML namespace other than xml:base, xml:id, xml:lang, and xml:space MUST be processed as ordinary attributes." となっていて、今後XML名前空間にどんな属性が追加されたとしても、同じよう
RSS 2.0 vs. Atom 1.0(今さら) - ものがたり(旧)
Syndication APIを埋め始めて5日目くらい経って、350件くらいあったTODOが75件くらいまで減った。たぶんAtom 1.0の出力が出来てRSS 2.0とAtom 1.0の出力が出来れば終わりだと思う。WCF的には他のネームスペースも埋める必要があるんだろうけど、それじゃWCF poisonedな仕事をしてることになってしまうので、それは避けたい。 で、今さらのようにRSS 2.0とAtom 1.0の何が違うのか眺めていた(全く興味のない分野だったので何も知らないわけである)。多分この辺が日本人には読みやすい。どう見ても2005年くらいまでの話題だ。これで僕もWeb 0.6くらいにはなったかな。 slashdot.orgの記事なんかを見ると、まるでMicrosft-RSS陣営 vs. Google-Atom陣営だ、みたいに書かれていて楽しい。僕が観察した感じでは、むしろHar
the minimum WS-Security on SecurityBindingElement - ものがたり(旧)
たぶん↓が一番簡単なWS-SecurityをサポートするBinding AsymmetricSecurityBindingElement sbe = new AsymmetricSecurityBindingElement (); sbe.SecurityHeaderLayout = SecurityHeaderLayout.Lax; // 1.ゆる〜く sbe.RequireSignatureConfirmation = false; // 2.な〜も確認しない sbe.LocalServiceSettings.DetectReplays = false; // 3.リプレイなんてシラソ sbe.IncludeTimestamp = false; // 4.いつ作られたメッセージでもキニシナイ! sbe.RecipientTokenParameters = new X509Securit
DiscoXmlResolver - ものがたり(旧)
discoとか初めて使っちゃったYO. というわけで作ってみた。まだ動かしてすらいない。 …で、試しにWS-Trustのwsdlで使われているxsdを読んでみて、初めて気付く: Actual content model is non-deterministic, hence wildcard. The following shows intended content model: …。 スキーマを役立たずにしてまでunorderedにする意味があるんだろうか。そんなにinterleaveがほしいならRELAX NGで書けばいいのに。xs:anyじゃvalidationもろくに出来ないし、当然ながらクラス生成にも使えませんよ。 僕なら、外部要素なんてXMLSchema.xsdみたいにannotation要素でもくっつけて囲い込み、全体はchoiceにする。それぞれの要素についてメタ情報が必要
WS-Securityが安全に見えない - ものがたり(旧)
http://slashdot.jp/security/06/09/27/1056238.shtml SHA-1は例によってコリジョンが発見されているので、(直ちにヤバいというほどではないけれども)もはや安全とは言えないわけで、とりあえずSHA-2などを使っておけ、と言われているわけです。もっとも、うちのSebastienはSHA-2がSHA-1の問題を引きずっていないかどうかは分からない、と懸念を表明していましたが…。その後どう収束したかは、僕の知識の及ぶところではありません。 ところでWS-Security関連仕様に目を向けてみると、けっこう安全性に問題があります。 XML EncryptionではSHA-1がREQUIREDである一方、SHA-256 (SHA-2)はRECOMMENDEDであり、.NETのEncryptedXmlを含む多くの実装において、デフォルトがSHA1であろう
derivativeアルゴリズムについて(1) - ものがたり(旧)
冬休みに入ってからしばらくはRELAX NGまわりをいじり直していた。まず長いこと懸念していたバグ潰しがようやく実行に移せた。そして直ったと思ったら、今度はパフォーマンスに(relaxng.rngを解析できないほどの)致命的な問題が生じて、最適化をいくつか実装する必要があった。結論から言えばwhitespaceの扱いがおかしかっただけなのだけど。そして今日、ようやく3年前にやっつけたwhitespaceまわりの問題を全て解消した(はず)。 僕の知る限り、現時点でバグの原因は3種類だけだ: 1) XLink section 5.4の制約が未実装であること、2) XML Schema datatypesのfacetが上手く機能していない(場合がある?)こと、3) exceptを子にもつname classをexceptにもつname classのanalysisに失敗すること。 というわけで、
■ - ものがたり(旧)
Rick JelliffeのW3C Schema Experience Workshopに関するコメントがなかなか興味深い。 文法上の曖昧性と意味論的曖昧性というのは、違うものであって、文法上曖昧であっても意味論的に同一である構造というものを作ることが出来るはずだ(未来形)という話。(ってそこだけ切り出すのかよ) めんどくさい話ではある。というか文法上曖昧性が無い場合であっても、たとえば1)要素内容にBとIDの属性xをもつ要素A、2)要素内容にCとduration型の属性xをもつ要素A*1、について、1)と2)をchoiceで選べっていう曖昧ではない場合であっても、これをStAXやXmlReaderみたいなストリーミングでオブジェクトマッピングしろ、と言われても出来ないので*2、曖昧性を排除するannotationがどれだけ有用であるかというと微妙だ。もちろんツリー構造からのマッピングは理
Uche Ogbuji on Michael Kay on Comparing XSLT and XQuery - ものがたり(旧)
っていうややこしいタイトルなのは伝聞のさらに伝聞だからなのだけど、Michael KayがXTech 2005(うーん、行きたかった)で行ったXQueryとXSLT2.0についてのセッションの、Uche Ogbujiによる覚え書き。非常に興味深いのでこちらにもまとめておこう。 XSLT 1.0でユーザーが困惑したのは次の4点*1: XMLそのものにまつわる問題: エンコーディング、実体参照、空白文字、名前空間、などなど 宣言的プログラミングの特性: 変数、再帰、パス、グルーピング データモデル: '<'とか'>'の扱いがめんどっちい テンプレート パターンマッチ(ルールベースの記述) 結果ツリーとnodesetの違い 関数のサポートが貧弱 で、XQueryが解決したのって、たかだか4点目の問題だけなんじゃないの?っていうはなし。 そして、XQueryのFLWORでみんなjoinクエリが最適
スキーマレスWebサービス - ものがたり(旧)
話がずれていったWebサービス論について吉松さんが疑問符を投げかけている。 「Webサービス」って話しづらいんだよね…SOAと同じでまず定義が不明確だし。はてなWebサービスみたいなのが「RSS提供しているだけじゃん」って言われちゃってたりするし。XML-RPCベースで動いているXimianのRed Carpet*1も持ち出せるのやら。吉松さんに日経ByteのWebサービス論が興味深いですよと言うわけにもいかないし(w って思ってたら僕もこの前「Webサービスを」云々とか定義すっ飛ばして書いてました。反省。あれはWSDLのことです。 僕がコメントすべきは「役に立たない」2/3のWSDLについてかな。ってもう↑で本筋の話は終わっている気分ですが。以下は脇道のWSDL/XSDについてのみです。所詮余談だから「続く」にしてみようか。そうしちゃえ。 バグのあるWSDLは(互換性が求められるWebサ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SはSimpleのS - ものがたり(旧)