ネタ
http://rikunabi-next.yahoo.co.jp/tech/docs/ct_s01300.jsp?rfr_id=report&p=011 なんか面白い
前にも書いたけど。 http://www.debugmode.com/wink/ 動画でマニュアルを作るには重宝する。定期的に指定した場所をキャプチャしたり、キーボードで任意のときにキャプチャしたりした後、一コマ毎に動画に解説入れたり、加工できるので、かなり楽に動画マニ…
はてな日記で指定した日の日記を削除するのではなく、非表示にすることは出来んものか? アイデアに投稿しろってw
オレオレ証明書がなくならないのは、SSLの正しい使い方を理解せず、通信文だけを簡単に読めなく(あえて暗号化とは言わないw)さえしておけばOKという誤った認識だけがまかり通ってるからかなぁ?と思ったり。 暗号化ということと通信先が正しいことという…
超いい加減にアプリケーションの機能を細分化していくと、「データの保存」、「データの削除」、「データの検索」、「データの加工」、「データの取り込み」、「データの出力」って感じに落とし込めるのかなぁ?で、これらを組み合わせていけば、いろんな機…
http://www.debugmode.com/wink/ 動画マニュアル作るのに便利。キャプチャ後に注釈つけたり、いろいろ加工ができるので遊べそうだ
http://enterprisezine.jp/article/detail/225 非常に睡眠時間が少ない酒好きの人へw
今回の記事は食いつきがいいぞw やはりXSSの話は食いつきがいいのか?w次回はSQLインジェクションを予定しているのだけど、どうだろうねぇ。まあ、書くネタはSQL Injectionの仕組みと対策あたりの焼き直しを検討中。 後はSQLインジェクションと文字コードが…
http://japan.zdnet.com/sp/feature/07gwt/story/0,3800080922,20359934,00.htm Ajaxと文字コード関係っぽい。後で読む
http://www.mod.go.jp/trdi/infomation/happyou/Program.pdf セッションG4ちょっとのぞいてみたいかも
http://www.atmarkit.co.jp/fsecurity/column/ueno/49.html 面白そう。一度ツアーでも組んで行ってみたいw
某ツールでは、メタ文字が有害文字となってるんだよなあ。どうも、あちらの人って、危ないモノは排除って感じなので、文化の違いかなあとふと思った。頭が異体秋の夜
id:comikenさんにトラックバックされてしまったら、変な考えが出てしまったorzはしっかり者の妹ってどう?が「お姉ちゃんは仕方がないなあ」とかいいながら、皆をタグから解放してあげるとかw で、"と'は<>の従姉妹で、容姿端麗、頭脳明晰の姉妹なんだけど、…
と言うのを昨日カッとなったので考えてしまったorz今は反省している。 メタ文字たんは基本ドジっ娘と言うことにw で、は双子の姉妹らしいw
Blind SQL Injectionの攻撃例って条件式でSQL Injectionが発生するケースのものなんだよなぁ。InsertやUpdateの更新データとか、ストアドプロシジャの引数での例ってあんまり見ない気がする。実際問題どうやればよいかというと、やり方は想像つくんだけど、…
まあじっくり考えんでも、スクリプトコードの中で入力データ使われてたら対策が面倒ですな。実際のところそういったケースってあるのかな? 某所にて、XSSとかの説明が似たり寄ったりで面白くないと言われたのでw、XSSの脅威のひとつの例として、暇ができた…
まあ簡単に言っちまうと、有害文字(とあえて書くw)がないと、データの区切りとか、命令とデータの区切り等が表現できないからだ。その為、0x00から0xFFのうち幾つかのものをデータや命令の区切り等、特別なものとして使う(例えば、多くの処理系で0x00が文字…
自称JavaのエキスパートなのにEclipseでのプログラムの実行方法がわからんとはこれ如何に?Eclipse使わずに開発してんのかなぁ?
新しいのが公開されているらしい。しかし、新しいのがでたと言うのを人のはてブで知るというのはどうかと思う。
徳丸さんのネタで出ているセミナーにて「開発者にセキュリティの知識が必要」と言われていたが、これにかなり疑問を持ってしまった。 以前は確かに私も、「セキュリティ知識が開発者にも必要」という考えだったけど、このところの入力検証とエスケープ処理に…
http://d.hatena.ne.jp/ikepyon/20070903#p2 に書いていたことについて意見もらったもので、自分地に改めて書いてみる。 http://blog.goo.ne.jp/t_iwano/e/ae81d77e587d0eadde9a9ae6e5f51abe ここで書いていた初めての人というのは今までプログラムを書いた…
http://itpro.nikkeibp.co.jp/article/COLUMN/20070829/280627/ 見事な釣り師です。ごめんなさい
おとついあたりから考えているのだけど、本当にWebアプリのセキュリティ対策として入力検証は必要なんだろうか? 多くのWebアプリはphpやJava、Perlといった言語で書かれている。このためCに特徴的なBuffer Overflowの脆弱性というのはあまり考えられないの…
サニタイズっていうと、「危険なデータを削除して、安全なデータにする」と言うイメージかなぁ。 となると昨日書いた「信頼できないものを信頼できるようにする」というイメージと確かにだぶる。私の意図としては、「信頼できない」とは、チェックせずに利用…
というわけで、某所の記事が公開されてた。いつものことながら、連絡ないしw 今回出した奴は長かったので、前後編に分かれたみたい。
短時日で素早くコードを書くことのみに着目するのであれば、コピペは悪い方法ではない。しかし、これまで多くのサンプルプログラムには脆弱性が含まれてきた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。 うーん、PHPをコピペに変えて、…
http://www.sei.cmu.edu/cmmi/translations/japanese/models/
というわけで、ちと考えてみる。 要件定義にはじまって、概要設計、詳細設計、コーディング、テストケースといったドキュメントやコードを作っていって、どこにセキュリティ上の問題があるか?というのを考えるというのを作ってみよう。まあ、一種のプロジェ…
某記事の第2弾が出ています。残念ながら今回は目の前の人が書いて、私は書いてません。 次は私が書いてます(というか書き書き中)
なんかあちこちめぐっていたらコピペがどうのこうのとあったのでw きちんと内容理解した上でコピペするのは悪くはないと思うんだよ。結局自分で書いても同じようなコードになると思うし。でも、理解もせずに欲しい機能があるからという理由でコピペするのは…
