- nic
- 開発者兼(web|interior)デザイナー兼プロデューサー兼コンサルタント兼ディレクター兼経営者。
- http://spais.jp
nic's Marks
例えばSQLインジェクションであれば、情報漏えいやデータ改ざんなどの危険性があるので理解できますが、XSS対策として過剰に投資する必要性に疑問を感じるのです。
いま、あえて問います。世間でいわれているほど、XSSは危ないのでしょうか?
どう考えても危ないでしょ。 SQL インジェクションでスクリプト埋め込んだりするんだから。
Ext.Direct - Remoting and data streaming/comet support
いずれも、スキルの蓄積に繋がらない話の上、給与面や待遇面もアレだ。
「スキルの蓄積になる仕事を探す」という猶予が欲しいなら独力で探すべき。 少なくとも、第三者の力で選択肢が与えられている状況の中で自分の理想に合うものが無かったとしてもその中から選んで自立した生活基盤を構築してから独力で自分の理想に合う仕事を探すべき。 被害者として職を失ったとしても、誰かに助けられている以上まずは自立した生活基盤を構築する事が第一ではないのか。
今回の問題って、派遣労働についての雇用の信義則を企業側、派遣会社側が守らないというのも大きな問題じゃないかと。
保証の薄さがアウトソーシングのメリットじゃないのか。例え「いつクビになるかわからないけど、それでも良かったら働いて下さい」って明言されていたとしても状況は変わらなかったと思う。
上記の背景考えないで放言したところで、「寝言は寝て言え」だよな。そもそも、今回の派遣切り食らった奴についてはいろんな背景があるわけで。
結局は「実績を作る」行為を疎かにして実際に切られるまで派遣に甘んじてる精神に問題があると思うんだけど。 どんな背景があっても生き残るために起こす行動は人それぞれなわけで、今回浮浪者ギリギリのところを国に助けてもらってる人間はそこら辺の行動力がないだけでしょ。
畳の目を数えてました。
待ち合わせに遅れそうなときに良く使う。
「あなたにとっての意味」というのは、それがどんな意味であれ、あなたの寿命以上の長さを持ち得ない。「私にとっての宇宙の意味」も、私が死ねばなくなってしまう。仮に宇宙の寿命が無限だとしても、その意味において「意味」というのは元から「なくなってしまう」ものだったのだ。
二元論は僕も嫌いじゃない。
なんでみんな、たった一言「htmlspecialchars()でくくれよ!」って 直接、正解を言ってくれなかったんだろう。一言で済むのにね。
母親のような大きな愛で包み込みつつ皮肉を紛れ込ませている。 これに気づかないのは一種の才能。鈍感力。
何で悪い大人の人はXSSの脆弱性を突いてきて悪い事をするんですかー??
彼が街中をパンツ一丁で歩いていて僕がサインペンを持っていたとしたら、100%彼に落書きをする。 一言「服着たほうがいいよ」と言わないのは、パンツ一丁で歩く事のリスクを知らないまま社会生活を送ってきたが想像できないから。 落書きする方が注意するよりも格段に楽しいというのも理由の半分以上を占めるけど、的は書かない。どこからかダーツが投げられて彼が怪我をするのは本意ではないから。
Apple Universityの狙いは複数考えられる。Appleがよりどころにしてきた大学や学生たちに対するマーケティングと流通の強化、「iTunes U」として知られる現在のプロジェクトの拡大、McDonald'sの有名なHamburger Universityと同様のApple従業員向けの社内研修プログラムなどである。
産能大学みたいなものか。
Eclipseを起動しようとしたところ、「JVM terminated. Exit code=1」というエラーが発生してEclipseが起動しないではないか。これでは仕事ができない!と思い、googleしたところ、404 Not Foundに対処方法があった。 原因は複数のJDKがインストールしてあるとどのVMを起動してよいかわからないということらしい。確かに昨日の夜にJDK1.5.0_07環境にJDK1.5.0_08をインストールしたが、それが原因なのか。 しかし、会社ではJDK1.5.0_06とJDK1.5.0_08が入っているが問題なく起動している。もしかしたら環境変数の問題かも知れない。 対処方法はEclipseのショートカットに-vmとしてVMのパスを記述するということである。 ECLIPSE_PATH\eclipse -vm JAVA_HOME\bin\javaw.exe
Eclipse が起動しない場合の対処。 JDK が勝手に増えたのでメモ。
URLエンコード後の文字長は最大512バイト
DoCoMo の仕様
ヒッグス粒子がついに確認される。確かに、LHCでヒッグスを発見できれば悪くはないが、それでは物理学者がすでに知っている多くのことを確認したにすぎず、科学の進歩には貢献していない。まったくつまらない結果だ。
非処女だと噂されていた学園のアイドルが実際に非処女だった事を知った時の心境に近い。
mixiユーザーのみなさんは世界中の10,000以上のOpenID対応サイトを、mixiのIDだけで利用できます。さらに、外部のブログや動画共有サイトなどでも、mixiと同じように「友人まで公開」といった公開範囲を設定できるようになります。
凄い。一見すると普通なのにとんでもない釣り。
なんと今回はご縁あって、日本語版 Twitter チームが開発する、新しいコミュニティサービスの基調デザイン制作を担当することになりました!!
Twitter JP で一般公募してたサイトデザインの話かな?鬼門臭がしすぎてて眺めてみていたけど・・・・無事に済むことを祈るばかり。
WindowsといったOSレイヤーが何であるかが重要でなくなる。全てはブラウザとそれを支えるgearsで完結できるようになる。
gears が壮大な伏線だったという話。
たぶんNP_TrackBackが入っていないからだと思います! http://blog.cles.jp/item/17...
NP_ImpExp でエクスポートできない原因のひとつとして考えられるもの
ただし出品するのはあくまで交渉のための優先権であり、落札すれば即譲渡というものではない。その後譲渡に向けての話し合いを実際に行い、譲渡が決定した場合、落札額からYahoo!オークションの手数料を引いた額を実際の譲渡額から相殺する予定だという。さらに落札後、譲渡に至らなかった場合は落札額から手数料を引いた額を返金する予定だという。
「見せ金」のうまいやり方。
原理から正しく学ぶということは、HTMLなりJavaScriptの文法をしっかり学ぶことでもある。またエスケープを正しく行わないと、セキュリティ上の問題以外に、表示がおかしくなるなどの不具合が生じる。これはプログラマとして必須の知識なのだ。
セキュリティ以前に「正しい結果を返す」事が大前提。逆に正しさを理解すればセキュリティの基本的な概念も理解できる。
大垣さんのブログには、「出力時に過剰とも言えるエスケープ処理」とあるが、多くの文字をエスケープすれは安全になるというものでもない。HTML上の場所に応じた適切なエスケープが必要だ
出力先のフォーマットに即していないとエスケープそのものの意味がない。
インジェクション系脆弱性の根本原因はリテラル(定数)が枠をはみ出し、命令として解釈されることだ。
ここが理解できないと XSS を理解するのは難しい。
「入力間違い」と「不正な入力」をどう区別をつけるのだろう。
入力内容から入力者の意識までは読み取れない。
女の子が入ってくることで内部の穴兄弟化とかが進んだり
CSS nite 化
決して行ってはならないのはWAFで保護しているから大丈夫、とシステム上で対策できる問題を放置する事です。Webセキュリティ対策はあくまでもWebシステムが"主"でありWAFは"従"です。
きっとこういう当たり前の考えを持たないで WAF を導入するところがでてくるんだろうな。 それで「専用のセキュリティウェアを導入済みでしたが」みたいな言い訳をするんだろう。
注目すべきは、ここまでの動画アップ・編集機能の利用には、会員登録を求められないところです。この後、実際に動画を公開・共有する時になって初めて登録を求められます。
後回しと言うより「ここまで作ったデータが会員登録しないと保存できない」と言う人質的なアプローチが有効なだけ。 ユーザが1回の利用にかけられるコストが大きいサービスであるほど有効。
運営するソーシャルブックマークサイト「PingKing」(ピングキング)の収益化が困難と判断したため。PingKingのサービスは8月31日に終了する。
ソーシャルブックマークサービスだけで収益化なんて図れると考える事自体が香ばしい。
デジタルガレージは、子会社の株式会社WEB2.0(ウェブツーポイントオー)を9月17日付けで解散する。
50年後も web2.0 なんだろうかとヒヤヒヤせずに済んだ。
Poor Man's Multiplexing
http://devblog.opentype.jp/archives/71
- 1000スピーカー
- 1
- Apple
- 1
- calculator
- 1
- comet
- 1
- computer
- 3
- eclipse
- 1
- Ext.js
- 2
- feedburner
- 1
- flash
- 1
- font
- 1
- game
- 1
- google chrome
- 1
- Greasemonkey
- 1
- HTTP
- 4
- IPアドレス
- 1
- Java
- 1
- JavaScript
- 3
- Linux
- 2
- mixi
- 1
- NG
- 2
- Nucleus
- 1
- OpenID
- 1
- os
- 2
- photoshop
- 1
- PHP
- 1
- RSS
- 1
- SBM
- 3
- SMO
- 1
- software
- 3
- 1
- URL
- 1
- WAF
- 1
- Webサービス
- 1
- Windows
- 2
- XSS
- 4
- しおり
- 1
- インフレ
- 1
- ウェブサービス
- 1
- カンファレンス
- 1
- クラッキング
- 1
- コカコーラ
- 1
- コメント
- 4
- コモンズ・マーカー
- 6
- コンセプトモデル
- 1
- ジンバブエ
- 1
- スパム
- 1
- セキュリティ
- 11
- ニュース
- 1
- ネタ
- 1
- ネットオークション
- 1
- ネットワーク
- 4
- バズワード
- 1
- ブログ運営
- 3
- プラグイン
- 1
- プロキシ
- 4
- プログラミング
- 1
- プロモーション
- 1
- マナー
- 1
- マーケティング
- 2
- メモ
- 1
- メール
- 3
- リリースノート
- 1
- 世間知らず
- 1
- 事業
- 2
- 事業譲渡
- 1
- 仕事
- 2
- 仕様
- 1
- 会員登録手法
- 1
- 会社
- 2
- 例
- 2
- 保険
- 1
- 備忘録
- 1
- 共有
- 1
- 助成金
- 1
- 北朝鮮
- 6
- 反面教師
- 11
- 取引
- 1
- 哲学
- 1
- 商品
- 1
- 嗅覚
- 1
- 在り方
- 1
- 多様性
- 1
- 大麻
- 2
- 学習
- 2
- 対論
- 4
- 引用β
- 1
- 思想
- 9
- 手法
- 2
- 拉致問題
- 6
- 携帯電話
- 1
- 教育制度
- 2
- 文化
- 1
- 時事
- 6
- 書き方
- 10
- 書籍
- 1
- 本質
- 1
- 欲しいもの
- 1
- 注釈
- 56
- 派遣
- 3
- 消臭
- 1
- 理論
- 1
- 瑕疵
- 1
- 用件定義
- 1
- 異業種連携
- 1
- 着想
- 1
- 社会
- 3
- 社会の仕組み
- 1
- 竹島
- 1
- 経営
- 4
- 経済
- 1
- 融資審査
- 1
- 解散
- 1
- 言い回し
- 1
- 言い訳
- 1
- 記事タイトル
- 1
- 設定方法
- 1
- 説明
- 1
- 論法
- 4
- 論理
- 2
- 財務
- 3
- 賃借
- 1
- 賛成
- 1
- 釣り
- 3
- 開発
- 5
- 音楽
- 1
データベースに保存した情報は生データのはずなのに HTML で出力する際にエスケープしないとか、SQL インジェクションと XSS は同じレイヤー上で考えなければいけない事のはず。 ウェブサイトへの攻撃とエンドユーザーへの攻撃と言う違いがあり、後者は直接運営企業に影響しないながらも「マルウェアの発信地」となってしまうような事は避けるべき。 必要性に疑問を感じることに疑問を感じる。