http://d.hatena.ne.jp/ockeghem/20070511 http://d.hatena.ne.jp/ikepyon/20070511#p3:これに対して、突込みがいただけた。しかも、具体的な対策つき。すばらしい。 さて、今回と前回ので、通常のWebアプリの対策としてはかなりいけていると思う。でも、AJA…

デバッグしてたら、5時だったorz

http://blog.goo.ne.jp/t_iwano/e/b8850d157baab2e7382e5f4edf15ee0a とか、 http://d.hatena.ne.jp/ockeghem/20070510/1178813849 とか見て思ったんだけど、本質を見極めてないと、対策に漏れが発生するよなぁと。 つまり、XSS対策はエスケープさえしておけ…

って、うまく使えば、マンインザミドル攻撃XSS攻撃の入り口*1に利用できるよなぁ。 検索した結果を表示するリンクにXSSの攻撃を仕掛けるなんてこと簡単にできるし^^; 多くの人は、検索結果のリンクを調べてからアクセスするなんてしないだろうし。しかも、使…

http://zone-h.jp/content/view/189/9/ 怖いなぁ。身に覚えがないのに、いきなりサツのガサ入れがあって逮捕か･･･ こういうことが起こる可能性があるから、個人情報の管理はしっかりして欲しいなぁ。こういったことが起こって冤罪だった場合、個人情報を盗ま…

某ツールのセッション管理ロジックに問題発見orz あの機能削れば解決するんだろうなぁ。昨日酔っ払ってデバッグしてたから、ちょっと今日見るのが怖いのは内緒ですwそろそろコードフィックスして、ドキュメント作成に移りたいんだけどなぁ。

昨日のうちに、ResultViewのソートは実装完了。やっぱり簡単だったw 後は、コマンドインジェクションモジュールのテストして、公開しようかなぁ? TDDで作ってないから、基本結合テストなのは、突っ込まないお約束でw

もう夏か?

とりあえず、少々手直しして公開すっかな? 要望として上がって直っていないのは以下のもの。 ・検査モジュールの外だし がんばって、いろいろやってみたのだけど、結局やり方がわからなかったorz Guardian@JUMPERZ.NETも内部に持ってるんですよねぇ。何か参…

こんな感じ なんとなく、様になったかなぁ？

http://d.hatena.ne.jp/ockeghem/20070503 結構思っていることと同じだったりして。入力データの妥当性検証というのは、セキュリティ対策という要請からではなく、適切なデータをアプリケーションが常に正しく処理する必要があるので、必要だと思う。なぜな…

連休明け(だけじゃないけど)で、今一です