昨日の日記について、池田雅一さんからコメントを頂戴した。また、Webサイトの方も修正が行われた。 池田雅一 原稿出した段階では、「エスケープが基本的な対策だが、Prepared Statementを使うと楽」と書いていたのに、記事になった時点で「だが」が削除され…

ockehgemのブックマークを見ていたところ、6人のユーザに登録された以下の記事があった。 サイト脆弱性をチェックしよう！--第6回：SQLインジェクションの検査方法, 池田雅一, ZDNET Japan, 2007年11月26日 また池田雅一か。顔見知りなのでズバリいくことに…

もう一つの日記徳丸浩の日記が、www.seozone.jpからのツッコミSPAMがあまりに酷く、今までは一々手で消してたけどあまりに目に余るので、tdiaryのフィルタに手を入れて同ドメイン名が記述されたツッコミを遮断するようにしました。ベタな方法だけど、しばら…

yamagataさんとこ経由。流行っているそうなので、私もやってみました。 私はキーボード見なくても打てますが、あまり速くありません ^^; 手がバタバタするなぁ。やってみたい方は→Typing Test English - 10FastFingers.com

楽天テクノロジーカンファレンス2007にて、カーネギーメロン大学日本校の武田圭史先生の講演を聴講しました。DNS Rebindingの説明が分かりやすいなぁと思いながら、そういえば今までの解説(ばけらさん、金床さん)には絵がなかったな(^^;)と思い至ったので、…

この日記をご覧の方には先刻ご承知のことだろうが、去る7月13日に、PHP 4のEOL(End Of Life)アナウンスが公式に宣言された*1。 これによると、PHP 4のメンテナンスは2007年12月31日まで、重大なセキュリティホールへの対応も2008年8月8日までとなっている。…

BoF後の宴会中にトイレに立ったらこんなものが・・・ これこそ、リアルハニーポット

当ブログのオーナー(徳丸浩)の勤務先(京セラコミュニケーションシステム)にて、セキュリティエンジニアのキャリア採用を募集しています。 職種は、以下の通りです(若干名)。 Webアプリケーションの脆弱性診断エンジニア、コンサルタント(の卵) セキュリティA…

空前の哲学者ブームの兆候か*1 *1:食事する哲学者Google Analyticsからグラフを引用

昨日の日記で予言したように、今回はhiddenフィールドの典型的な誤用を紹介しよう。タイトルに(2)が付いているのは、価格詐称が(1)というココロである。 シナリオとしては、会員制ハンバーガーショップ*1にて、自分自身の会員情報を教えてもらうと言う想定だ…

一昨日の日記hiddenのあまりにも馬鹿げた使い方 - ockeghem(徳丸浩)の日記で、hiddenパラメータの書き換えによる価格偽装の話を書いたら、はてなブックマークの反応が二つに分かれた。その典型例を引用させていただく。 NOV1975 えええええっーー３年前…いや…

昨日の日記(hiddenのあまりにも馬鹿げた使い方 - ockeghem(徳丸浩)の日記)では、yohei-y:weblog: ステートレスとは何かを引用させていただいて、hidden書き換えの危険性を説明した。その例として、ECサイトにて単価が変更できる場合を挙げたのだが、「本当に…

これは面白い yohei-y:weblog: ステートレスとは何か では、ステートレスな場合はどうなのか。 客: こんにちは 店員: いらっしゃいませ。○○バーガーへようこそ 客: ハンバーガーセットをお願いします 店員: サイドメニューは何になさいますか? 客: ハンバー…