「ockeghem(徳丸浩)の日記」のTwitterでの新着ページ
わーい \(^o^)/ PL/0を JS で書いたよー! - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■わーい \(^o^)/ PL/0を JS で書いたよー! 最近、JavaScriptで小さな処理系を書くのが流行っているらしい。45歳を過ぎた私もやってみたいと思い、昔とった杵柄で、PL/0の処理系をJavaScriptで書いてみた。こちらをどうぞ。amachangみたいに4時間というわけにはいかなくて、動き出すには6時間くらい(何日かに小分けにしたので)かかったと思う。PL/0については、Wikipediaの解説が詳しい。この実装の特徴としては、教科書的な降下型パーサ(1トークン先読み)簡単なPコー
d.hatena.ne.jp/ockeghem/20080127/p1
yameteoke
iモードブラウザ2.0のJavaScriptではiframe内のコンテンツを読み出せない - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■iモードブラウザ2.0のJavaScriptではiframe内のコンテンツを読み出せない iモードブラウザ2.0では、同一ドメインであっても、iframe内のコンテンツがJavaScriptにより読み出せないよう制限が掛かっていることを確認しましたので報告します。【追記】元の内容には、重大な事実誤認がありました。正確には、同一ドメイン・同一ディレクトリであれば読み出せます。詳しくは追記2をご覧ください。きっかけケータイtwitter(twtr.jp)においてDNS Rebinding攻撃に対する脆弱性
d.hatena.ne.jp/ockeghem/20100804/p1
クイズ:XSSとCSRFはどこにありますか? - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■クイズ:XSSとCSRFはどこにありますか? 先の日記(XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記)は、仕込んだネタがあたって多くの方に読んでいただいた。細かい内容については、頂戴した批判や反省もあるが、このテーマに対して多くの関心を集めることができたのは良かったと思う。今回も、手を変え品を変えて、XSSとCSRFの違いを説明しよう。ということで、今回はクイズ仕立てにしてみた。といっても、非常に簡単なクイズだ。認証を必要とする会員
d.hatena.ne.jp/ockeghem/20071205/p1
駄目な技術文書の見分け方 その473 - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■駄目な技術文書の見分け方 その473 ockehgemのブックマークを見ていたところ、6人のユーザに登録された以下の記事があった。サイト脆弱性をチェックしよう!--第6回:SQLインジェクションの検査方法, 池田雅一, ZDNET Japan, 2007年11月26日 また池田雅一か。顔見知りなのでズバリいくことにする。この脆弱性の検査方法を説明する前に、SQLインジェクションの仕組みについて説明しよう。へえ。終わりの方を見てみると、対策 SQLインジェクション対策の基本はXSSと同じく適切なエスケー
d.hatena.ne.jp/ockeghem/20071128/p1
ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■はてなブックマークボタンがマイクロアド社の新ガイドラインに従ったらこうなる すでにこちらでご案内の通り、私のブログ(徳丸浩の日記およびHASHコンサルティングオフィシャルブログ)に貼っていた「はてなブックマークボタン」により、読者の皆様の閲覧行動がマイクロアド社によりトラッキングされておりました。読者の皆様に断りなく不快な結果を強いていたことに対してお詫び申し上げます。既に当該ボタンは撤去しております。その後、株式会社はてな社長の近藤淳也氏およびはてなの日記にて行動情報の提供をやめる旨のアナウンスが一
woopsdez
はてなブックマークボタンがマイクロアド社の新ガイドラインに従ったらこうなる - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■はてなブックマークボタンがマイクロアド社の新ガイドラインに従ったらこうなる すでにこちらでご案内の通り、私のブログ(徳丸浩の日記およびHASHコンサルティングオフィシャルブログ)に貼っていた「はてなブックマークボタン」により、読者の皆様の閲覧行動がマイクロアド社によりトラッキングされておりました。読者の皆様に断りなく不快な結果を強いていたことに対してお詫び申し上げます。既に当該ボタンは撤去しております。その後、株式会社はてな社長の近藤淳也氏およびはてなの日記にて行動情報の提供をやめる旨のアナウンスが一
d.hatena.ne.jp/ockeghem/20120315/p1
徳丸本の台湾版が発売開始されました - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■徳丸本の台湾版が発売開始されました拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」が中国語繁体字に翻訳され、台湾で販売開始されましたので報告します。出版社の紹介ページ。@kuroneko_stacyさんが、早くも台湾で購入されたそうで、書店での平積みの様子を写真にとって下さいました。画像をクリックすると拡大します。昨日見本が届きましたので、いくつか写真を紹介します。まずは表紙。謝辞のところ。人気の(?)3章、悪人と銀行員の会話。台湾の本屋さんのコメント(@kuroneko_st
d.hatena.ne.jp/ockeghem/20120301/p1
2011-08-23 - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。4.2 入力処理とセキュリティ 「よくわかる」の
d.hatena.ne.jp/ockeghem/20110823
書籍「Android Security」の暗号鍵生成方法には課題がある - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■書籍「Android Security」の暗号鍵生成方法には課題がある 書籍「Android Security 安全なアプリケーションを作成するために」は既に各方面で絶賛されているように、Androidアプリケーションの開発者には必携の書籍だと思いますが、新しい分野だけに、首をひねらざるを得ない箇所もありました。このエントリでは、同書第10章「暗号化手法」から共通鍵の生成方法について議論します。はじめに書籍「Android Security」(業界では「タオ本」と呼ばれているので、以下タオ本と記述)
d.hatena.ne.jp/ockeghem/20120213/p1
morozumi_h
「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
昨日Webサイトを守るためのセキュリティ講習会の講師を担当しました。講習会の終了後、受講生から「管理者パスワードの定期的変更」に関する質問がありました。備忘の為、質疑内容を以下に記録します。Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたいA1:専門家の見解は分かれているとお答えしました現在の主流はパスワードを定期的に変更するべしという考え方ですが、それに異論を持つ人もいて、私もその一人です。一般ユーザのパ
d.hatena.ne.jp/ockeghem/20120201
PostgreSQL Conference 2012で講演します - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■PostgreSQL Conference 2012で講演します PostgreSQL Conference 2012で講演する機会を頂きましたので報告します。日時:2012年2月24日(金曜日) 14時30分〜17時20分(徳丸の出番は16:30〜17:00)場所:AP 品川 (東京都港区)費用:3,500円(申し込みはこちら)講演タイトル:安全なSQLの呼び出し方今回は、IPAの安全なSQLの呼び出し方を題材として、SQLインジェクションの発生原理から、安全なSQLの利用方法を基礎から実際までを説
d.hatena.ne.jp/ockeghem/20120120/p1
2011-08-08 - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■phpMyAdminにおける任意スクリプト実行可能な脆弱性の検証 phpMyAdmin(3.3.10.2未満、3.4.3.1未満)には、リモートから任意のスクリプトが実行可能な脆弱性があります。このエントリでは、この脆弱性が発生するメカニズムと対策について報告します。概要 phpMyAdminには下記の2種類の脆弱性の組み合わせにより、リモートから任意のスクリプトを実行させられる脆弱性があります。CVE-2011-2505CVE-2011-2506 該当するバージョンは以下の通りです。phpMyAd
d.hatena.ne.jp/ockeghem/20110808/
今年読まれた人気記事トップ10+10 - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■今年読まれた人気記事トップ10+10 今年も残りわずかとなり、今年の○○トップ10というタイトルを目にする機会も増えました。徳丸のブログでも、トップ10を発表したいと思います。今年書いたブログ限定ではなく、今年もっとも読まれたブログエントリのトップ10です。Apache killerは危険〜Apache killerを評価する上での注意〜PHP5.3.7のcrypt関数のバグはこうして生まれたもし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら SQLのエ
d.hatena.ne.jp/ockeghem/20111228/p1
debiru
大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記 d.hatena.ne.jp/ockeghem
■大垣本を読んで「バリデーションはセキュリティ対策」について検討した このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんの本を読んで「大垣流バリデーション」について勉強した結果を報告します。はじめに大垣さんの記事「入力バリデーションはセキュリティ対策」では、「入力バリデーションはセキュリティ対策である」が力説されています。この記事はおそらくid:ajiyoshiさんのブログ記事「妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション」を受けてのことだと
d.hatena.ne.jp/ockeghem/20111226/p1
wada811
