akiyan.com : 新たなXSS(CSS)脆弱性、EBCSS
新たなXSS(CSS)脆弱性、EBCSS 2006-03-30 かなりヤバめなXSS的攻撃方法が見つかりました。詳細は以下のリンク先をご覧下さい。 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合) 何がヤバいのかというと、この攻撃方法に対する根本的対策がほとんどのサイトで行われていないと思われるからです。 今までCross-Site Scripting脆弱性への対策はHTMLで使われる文字列を実体参照に変換するのが基本でした。しかし、マルチバイト文字列の仕様を突いて半端な文字列を送信しクオート文字を無効化(escape)することで、実体参照に変換されていてもスクリプトの実行が可能なケースがあることが判明したのです。 ちなみ
ミクシィのCTOが語る「mixiはいかにして増え続けるトラフィックに対処してきたか」:ITpro
ミクシィのCTOが語る「mixiはいかにして増え続けるトラフィックに対処してきたか」 YAPC::Asia 2006 Tokyo 東京都大田区で開催されているPerl技術者向けカンファレンス「YAPC::Asia 2006 Tokyo」で2006年3月29日,日本最大のソーシャル・ネットワーキング・サイト(SNS)である「mixi」を運営するミクシィのBatara Kesuma(バタラ・ケスマ)取締役最高技術責任者(CTO)が,増え続ける膨大なトラフィックにどのように対処してきたのかについて講演した。カギとなるのは「データベース分割」である。 mixiのシステムはもともとBatara氏が1人で作り上げたものだ。2003年当時,米国でFriendsterなどのSNSがはやっており,同氏が会社(現在のミクシィ,当時はイー・マーキュリー)にSNSを作りたいと提案したところ認められたという。同氏が
ウェブ産業の「富の再配分メカニズム」ってなんだろう? - michikaifu’s diary
今日のウォールストリート・ジャーナルの一面ど真ん中は、日本の経済回復とそれに伴う「ちょっとぜいたく消費」が、アメリカやアジアの経済にようやく良いインパクトを与えるようになってきた、という記事だ。やはり、たくさん買うお客は強い。(数日前のこの記事参照) パラダイス鎖国に関する補足 - Tech Mom from Silicon Valley さて、少し前に「ウェブ企業が虚業だのアブク銭だのといわれるのは、雇用へのインパクトが小さいから」というエントリーを書いた。そのとき、「Googleはそんなにたくさん投資しない」と書いたのだが、これを覆す話も出てきた。(1000億円投資するという話。) グーグルが仕掛けた米ネット列強の投資競争 - My Life Between Silicon Valley and Japan Web2.0と対立する2つの世界(その2)なぜネット企業がいつまでたっても異端
Pandora and Last.fm Together...sort of | TechCrunch
People who love music seems to either be Pandora folks or Last.fm folks, and the two groups often disagree (see, for example, the comments to this post). Quite frankly, the two services each do different things very well, although there is some overlap. Pandora is great for discovering new music based on what you like. Last.fm is also good at music discovery, but you can’t stream music directly fr
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
