1秒後に自動転送します。 転送されない方はこちらをクリックして下さい。 クリック
以前に上記の方法と同じようなものを検討したことがある。エスケープ漏れが発生するのは、同じ変数の中味が処理の段階によって未エスケープからエスケープ済みに変わったり、未エスケープとエスケープ済みの変数が何の区別もなく混在しているからだという話をどこかで読んだためだ。 「安全なテンプレートシステムはあるのか」ですかね。型が同じなのが良くないのではないかという話であって、変数の名前で区別する話ではありませんが。 ……ところで余談ですが、新しいhatomaru.dllでも「全部DOMでつくり、InnerXml/OuterXmlには書き込まない」というポリシーは健在で、XSSに対する特別な配慮はほとんどしていません。それは良いのですが、実は「全部DOM」方式にも弱点があることが判明しています。 C#でこんなコードを書くと……。 XmlDocument result = new XmlDocument(
相変らず忙しくしています。月一連載みたいになってしまっているのが,申し訳ないです。 ただ,そうやって間が開いていると,「続きもの」は書けない代わりに「時事もの」が書きやすくなります。ちょうど今回は「株急落」に絡むネタが降って来たので,そちら方面について書いてみたいと思います。 今回のネタの元は, バブルが崩壊した後に起きること です。 自分の周囲の景気 まずは私事から。 最近は思うところあってデイトレードをやっています。元々株は就職した頃から休みながらもやっていたのですが,デイトレに手を出すのは初めてです。ここは別に株の話ではないので,背景やメリットについて深く書くつもりはありませんが,デイトレに移行した理由の一つが,ここのところの経済的環境の急変です。あまりに激しく下げるものなので,それに対応した動きをしないと儲からないどころか損になるからです。幸い気がついたのが早かったせいで,損失はあ
IDEA * IDEA で募集がおこなわれていたカジュアルな勉強会に応募して行ってきました。テーマは「コミュニティ運営」。 » コミュニティビジネスについて勉強した | IDEA*IDEA クックパッドにはまったくおよびもつかないのですが、僕も Ruby on Rails で「あとで行く」や最近リリースしたばかりの「ピクイズ」といったサービスを運営しています。月間2億PVを超え、Ruby on Rails で運用しているサイトとしてはおそらく国内最大サービスの秘訣を聞いて、少しでも参考にしようと思ったのです。 が、しかし。。。集まった参加者からのコミュニティ運営に関する質問に、クックパッド CEO の佐野さんが答えていくという形で勉強会は進められたのですが、その答えの多くは良い意味で僕の(そしておそらく参加者の多くの)予想を裏切ってくれたのでした。 コミュニティサイトをクックパッドレベルま
DSASのファイル転送システムを、オープンソースで公開します。 その名は、makuosan(まくおさん:通称「まくお」)っていいます。 名前は冗談っぽいですが、内容はわりと真面目です(^^; MAKUOSANプロジェクトサイト Webサイトの運用に欠かせない作業のひとつに、「デプロイ」という作業があります。 これは、新しいプログラムやデータなどをWebサーバに設置して利用できるようにす ることを指していますが、サイトの規模が大きくなってWebサーバの台数が増えると、 それに比例してファイル転送にかかる時間も長くなっていきます。 一般的な話として、サイトの規模が大きくなるほど運用コストは増大しますが、 その要因のひとつとして「デプロイ時のファイル転送に時間がかかる」という 点がありました。そこで、できるだけ運用コストを抑える(作業者の負担を減 らす)ために、独自のファイル転送システムをこしら
外国のブックメーカー 自由 プロのベッティング ツールを使用して制限なしで賭ける 確かに、自由に賭けられないことほど迷惑なものはありません。 日本の法律は日本のブックメーカーにかなりの制限を課しており、その結果オッズと賭け金が減少しています。 日本の法律に制限されずにプロのようにベッティングするためのヒントをいくつか紹介します。 日本の賭博法 競馬、キョウテイ、ケイリン、バイクレースを除けば、オンラインスポーツ賭博、特に日本政府の認可を受けていない賭博サイトを介したサッカー、野球、バスケットボールなどの人気スポーツの大半は違法とみなされます。 日本政府と地方自治体は、違法なオンライン スポーツ賭博サイトへのアクセスを遮断し、規制されていないオンライン ギャンブルと闘うために積極的に取り組んでいます。 これらの厳しい措置を回避し、完全に自由に賭ける最善の解決策は、海外のブックメーカーを利用す
Office 2003 の Word に、BMP や GIF、JPEG などの画像データを貼り付けた場合、画像の形式によっては PNG に変換されてデータが保存されているんですね。文書ファイルからデータをパターンで抽出する方法についてご質問をいただいて、少し確認してみたのですが、てっきりそのままバイナリデータが DOC ファイル中にあるのかと思ったら違ってました(^^;; 気になったので少し調べてみたところ、以下の情報があったのでメモ。 Wordの.DOCファイルから高解像度の画像データを取り出す http://www.atmarkit.co.jp/fwin2k/win2ktips/945hipic/hipic.html Word内に挿入した元の画像を取り出したい http://tacomakix.blog.so-net.ne.jp/2005-06-28 Word 2007の.DOCXファ
始まりました。 学園祭をやってました。 田んぼの向こう側にあるのが岡山県立大学。 教室で開催。 模擬店もあった。 セキュリティ&プログラミングキャンプキャラバン岡山 セキュリティ&プログラミングキャンプを紹介し来年の応募を喚起するために全国行脚するのが、セキュリティ&プログラミングキャラバンだ。 岡山での開催。id:sonodam、id:wakatono、id:hyoshiok、id:amachang の超豪華講師陣。taraijpnさんには大変お世話になりました。ありがとうございました。 最後に質疑応答のコーナーがあったのだけど、それが予想以上に盛り上ってうれしかった。 最初の質問は、女性のWebデザイナーで最近プログラミングを始めたという。勉強のこつなどを質問していた。JavaScriptとかscript系の話はid;amachangだろう、ということでイケメン、あまちゃんが質問にがっ
ポスターがひどいと評判のFOSS4G 2008 TOKYOでLTしてきました。FOSS4Gは、地理情報システムやマッピングが専門の人が集まるイベントなので、Google Mapsを使うためにJSはとりあえず覚えたけどASとかには手を出してない、という人が多いだろうと目論んでASの紹介をしました。 スライドはこれ。 デモの動画は以下に。Google Maps API for Flash の上に3Dのモデルを重ねるというデモは以前公開しましたが、今回はProxy serverを通してGoogle 3Dギャラリーの中に埋め込んでいます。 本来サーバにないファイルを捏造して返すというのはどうやってやるんだろうなーCocProxyあたり改造すればいけんのかなーとid:cho45に聞いたら、「改造せんでもファイル置いときゃそれ返すよ」と言われて10秒で完了しました。cho45++
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。12月9日(月)~12月15日(日)〔2024年12月第2週〕のトップ30です*1。 順位 タイトル 1位 無自覚にメンバーの心理的安全性を奪っていた経験から得た学び - Speaker Deck 2位 重度知的障害の女性が活躍する仕事 川崎 “あるシステム”が決め手に 職場全体にメリットも | NHK 3位 犬とおばあちゃん助けたら最近かなりいい感じ 4位 セロトニンを補う薬がびっくりするほど効く人たち | Books&Apps 5位 コワーキングスーパー銭湯ランキング(東京近郊) 6位 あるXユーザーの「娘が4~5歳の頃にハマったボドゲ」全26種の紹介ツリーが参考になる→クリスマスに子どもからボドゲを所望された親御さんは必見 - Togetter [トゥギャッター] 7位 一つ嫌なことがあると
サイボウズ・ラボからあなたは原稿用紙何枚分のアウトプットをしていますか? Outputz をインストールすると簡単に知ることができます。 – Outputzというおもしろそうな新サービスが出たので早速アドオンをインストールしてみたのですが,いくら入力しても全然カウントされない. 二日くらいして気がついたんですが,どうもJavaScriptの実行を禁止するアドオン「NoScript」が入ってるとダメみたいです.NoScriptをはずすのは怖いのでどうしようかなーと思ってごにょごにょしていたら, いつのまにか0枚が0.3枚に.あれれー. というわけでまだよくわかってませんが,NoScriptでoutputz.comのスクリプト実行を許可してあげると動作するっぽいです.
技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編):Security&Trust ウォッチ(55) 2008年10月9、10日に開催された「Black Hat Japan 2008」と、翌日の11日に開催されたBlack Hat Japanのアフターイベントとしても位置付けられている「AVTokyo2008」に参加してきました。 国際セキュリティカンファレンスとして知られたBlack Hatと、昨年まではBlack Hat Japanの参加者のみのプライベートパーティだったAVTokyo2008について、前後編の2回に分けてお届けします。 10年以上の歴史を持つBlack Hat(ブラックハット)は、最先端の技術やセキュリティの現状を知ることができる国際セキュリティカンファレンスで、日本で開催されるBlack Hat Japanもすでに5度目
もはやITだけでは解決できない 筆者は、セキュリティコンサルタントとして数々のインシデントを目の当たりにしてきた。本連載は、筆者がこれまでに経験したインシデントを基に、事件発生から解決に至るまでの“迫真のストーリー"を紹介する。もっとも、取り扱う内容の性質上、事実をありのままの形で公開することはできない。ここで紹介する内容は、あくまでもフィクションではあるが、インシデント対応に関しては可能なかぎりリアリティを追求したものであることをご理解いただきたい。 (2008/10/27) 山羽六 印刷用ページ インシデント発生マンション開発・販売を手がけるA社のWebサイトが改竄された。幸いなことに実害はなく、単なる「いたずら目的」の攻撃かと思われた。そのころA社内では、営業畑出身の社長とシステム担当役員との間に意見対立が生じ、システム担当役員が退職するという事態になっていた。やがて、第2の事
更新: 2008年11月7日1時55分頃 こんなのがあったのですね。「ITpro EXPO検定---全11分野で,あなたのIT理解度はいかに? (itpro.nikkeibp.co.jp)」。 セキュリティ検定の解説もあったので見てみましたが、超難問が3問ほどあったので、独自に解説してみます。 Webブラウザを狙うクロスサイト・スクリプティングは,どのような問題点によって起こるでしょうか。 A) クライアントOSの弱点(ぜい弱性) B) Webブラウザを使うユーザーの油断 C) Webブラウザの弱点(ぜい弱性) D) Webサーバーの弱点(ぜい弱性) 以上、セキュリティ検定の解説【問題2】 より 「WebサーバやWebブラウザにもクロスサイトスクリプティング脆弱性がある」という知識を問う問題ですね。XSSというと普通はWebアプリケーションの問題ですが、WebブラウザやWebサーバに問題が
MONEYzine サイトサービス終了のお知らせ 2022年4月20日をもってMONEYzineは終了しました。 長い間、MONEYzineをご利用およびご購読いただき、ありがとうございました。 翔泳社では複数のデジタルメディアを運営しております。よろしければご覧ください。 翔泳社のメディア:https://www.shoeisha.co.jp/media
2008年10月9日に開催されたBlack Hat Japan 2008で、「趣味と実益の文字コード攻撃」というテーマでネットエージェント株式会社の長谷川陽介氏が発表した。長谷川氏はアプリケーション側の文字コード処理に関するバグを利用したり、文字コードや文字を巧みに操作することで、Webアプリケーションなどに対して攻撃を行うことが可能だと示した。 ●Unicodeへの移行期に起きている混乱 Unicodeは世界で使われる全ての文字を使える文字コードという発想で作られたもので、日本では従来はEUC-JPやShift_JISなどの文字コードが使われていたが、徐々にUnicodeに移行している。その移行期である現在、従来の文字コードとUnicodeとの差違がセキュリティ的な問題を生んでいる。 安全な文字列の確認や危険な文字列の検出といった、文字列を比較して処理するというセキュリティの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く