Entries from 2007-05-01 to 1 month
FizzBuzz関係のネタを書くために下調べをしていて偶然発見しました。 うーん、なんなんでしょうね。運営主体とか全然分かりません。プレースホルダかな? というのもありました。 fizzbuzz.comはドメインとしては取得されていましたが、使用はされてない模様…
7/18(水)の14時から、SANS Future Visionにて講演することになりました。セッションの内容などは以下をご覧ください。申し込みもできると思います。無料です。http://www.event-information.jp/sans-fv/session.html内容については、脆弱性管理についてしゃ…
徳丸浩の日記にて試験運用開始しました。 しばらく並行稼動して、いずれ、そっちに移行するかも(^^;
この文章は、2007-05-24に対するトラックバック的なコメントです。 この「==」の実装が適当なのかどうかの議論ですが、適当不適当と言うより非常に不思議だと僕は感じます。というのも、異なる浮動小数点数の差が0になることはありえないはずですから、Inf、…
書籍案内|技術評論社総集編[Vol.1〜36]を購入してパラパラ目を通しています。「総集編」たる本体は付属のCD-ROMであって、紙に印刷された記事は「おまけ」なのかと思っていたら、読み応えのある記事があって得した気分でした。その中に、興味深いコラムがあ…
今話題のどうしてプログラマに・・・プログラムが書けないのか?に関して、FizzBuzz問題がネットを賑やかしてますね。 1から100までの数をプリントするプログラムを書け。ただし3の倍数のときは数の代わりに「Fizz」と、5の倍数のときは「Buzz」とプリントし、3と…
2007-05-21に触発されてこの日記を書きます。 さて、PHPの配列のキーとしては整数と文字列のどちらかが利用できます。【中略】 文字列が指定された場合でも、キーに10進数として解釈できる文字列が指定された場合は、文字列から数値にキャストされます(プロ…
WEB+DB PRESS Vol.38で、小飼弾、天野仁史、id:hamachiya2三氏の鼎談を読んでいたら、ありましたね。(「は●」はhamachiya2氏の発言) は●あと、セキュリティで気をつけておいた方がよいことなんだけど、最近よく見かけるのはJavaScript内でのXSSかな。最近Goo…
JavaScriptでふと思い出しました。昔々、こういうプログラムを作ったのを。 JavaScriptにより数独(ナンバープレイス)を解く 1998年5月だから、もう9年前ですね。 いちおー、JavaScriptのprototypeを多用して作っています(HTMLソースでご確認を)。現代風のJ…
タイトルは、「携帯電話向けWebアプリケーションのセキュリティ」です。ベタなタイトルですな。 「近日発売」だそうです。
5/14の日記XSS対策:JavaScriptのエスケープ(その2) - ockeghem(徳丸浩)の日記に対して、id:hasegawayosukeさんからコメントを頂戴した。その内容は、JavaScriptに対応していないブラウザの場合に対する考慮が抜けているという趣旨だと理解した。元の日記にも…
5/11の日記XSS対策:JavaScriptなどのエスケープ - ockeghem(徳丸浩)の日記に対する金床さんのコメントに触発されて、JavaScriptのエスケープについて検討してみよう。ただし、現実のアプリケーション開発においては、私はJavaScriptの動的生成を推奨していな…
昨日の日記に対して、id:ikepyonさんからトラックバックを頂戴した。内容はそちら(Tipsと考え方とXSS対策)を読んでいただくとして、興味深いテーマなので少し突っ込んでみたい。# 日によって「です・ます」で書いたり、「だ・である」で書いているのは気分の…
ITproの連載中に、id:hasegawayosukeさんから以下のようなコメントをいただいていました。対策遅らせるHTMLエンコーディングの「神話」:ITpro - 葉っぱ日記 全ての文字をエスケープしようなどと非現実的なことは言わないけれど(とはいえMicrosoft Anti-Cros…
文字列項目に対するSQLインジェクション対策は、「'」(シングルクォート)や「\」(円マーク、バックスラッシュ)のエスケープであるが、数値リテラルなどはエスケープでは対策できない。 ここで、なぜ文字列に対してエスケープ処理が対策になるかを復習してお…
高木浩光氏からの批判の一つは、数値リテラルをシングルクォートで囲むことに対する論拠のあいまいさであったように思う。 「性能的にも不利だし」 SQL仕様で定義されているか。 以下にもう少し掘り下げて考察してみよう。 SQL仕様でどう定義されているか? …
例のITproへの連載では、インジェクション系の脆弱性を取り上げて、正しい対策について考察してみたが、 はびこる「インジェクション系」のぜい弱性 | 日経 xTECH(クロステック) 対策遅らせるHTMLエンコーディングの「神話」 | 日経 xTECH(クロステック)…