高木浩光@自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む
■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の
「10倍プログラマ」の神話、Ruby on Railsの生みの親が語った高い生産性のカギとは!? | HRナビ by リクルート
ずいぶん前のことだが、Webアプリケーション開発フレームワーク「Ruby on Rails」が00年代後半にブームを巻き起こしたとき、強い主張を持つソフトウェアとしてRailsは多くの議論を呼び起こした。その中でも最大のものはプログラマの生産性に関するもの。当時、すでにいくつも存在していたJavaベースのWebアプリケーション開発フレームワークに比べて、Ruby on Railsは10倍の生産性を達成できるという主張だ。 Rubyの生産性はJavaの10倍――。この主張が多くのエンジニアの琴線、もしくは逆鱗に触れた。「さすがに10倍は大げさだ」、「いや、現実に設定ファイルやコードを書く行数が劇的に減るのだから、そのぐらい当然だ」と意見が分かれたのだ。 2005年のリリースから約10年。Railsの生みの親で、今もプロジェクトをリードするデイビッド・ハイネマイヤー・ハンソン氏は当時を振り返り
Gitとかわかんなくても死なないです
さいきんスクリプトわからなかったりPhotoshopしか使えなかったりするデザイナー死ぬみたいに物騒な意見を表明する人がいたり、それにおびえたりしているひとを見かけますね。SNSで。 私思うのですが、今現在わからないことって、今現在は覚える必要がないことじゃないでしょうか。人間、やらなきゃならないときこそやれるようになりますから。 つまり、今すぐやらなくてもいいようなことがやれないことでおびえたり、悩んだりしなくていいと思います。 あと、いわゆる「叱り系記事」とか「脅し口調」は、昔から出版社があえてつかう、入門者に向けた「売り文句」の典型です。だから、そういう記事を書く人はおそらく自分自身が人にgitとかPhotoshop以外の作業手段なりをセミナーとかで教えることをなりわいとしているのでしょう。だから、そういうふうに怖がらせて自分自身のナレッジの必要性を伝えているのですね。営業トークかー
Webサービスを運営するうえで、おさえておきたい利用規約のポイント │ モノづくりブログ 株式会社8bitのスタッフブログです
株式会社8bitのスタッフブログです。こんにちは。株式会社8bitの高本です。 先週「Web制作とお金の話し」を当ブログに書いた際に、様々な方からご意見をいただき、非常に勉強になりました。 ありがとうございます。 その中で、契約も非常に重要であるというご意見をいただきました。 確かにおっしゃる通りでクライアントとのやり取りでお金の前にきっちり契約書を交わすということは重要だと思います。 Web制作の契約もそうですが、不特定多数を相手にしているWebサービスの利用規約や会員規約もかなり重要なポイントではないかと思います。 実際のところ、よく分からないから、他のサービスを参考にしている場合も結構あると思います。 参考にするのは良いとして、サービスによって内容も違いますし、運用する会社や個人によっても保障できる範囲は異なると思います。 Webサービス以外でもサービス提供している場
【レポート】Webデベロッパ初心者がおかしがちな10の誤ち | エンタープライズ | マイコミジャーナル
SitePoint: New Articles, Fresh Thinking for Web Developers and Designers Craig Buckler氏が10 Common Mistakes Made by Novice Web Developers - SitePointにおいて、Webデベロッパ初心者が犯しがちな10の過ちを紹介している。Webデベロッパになったばかりのユーザにとって避けるべき項目として参考になる。初心者以外のWebデベロッパにとっても実践すべき改善点の資料ともいえるもので、興味深い。 Webスタンダードを無視する。たとえば適切なDOCTYPEを記述しない、テーブルレイアウトやcenter指定を使うなど古いHTMLスキルを使ってしまう、span要素の中にh2要素を指定するなど誤った使い方をしてしまう、コードを検証しない、コードを検証してもバリデータ
Linux VPSならWEBKEEPERS
※税抜表記です。WEBKEEPERSは米国法人サービスのため、料金は消費税の課税対象外になります。 ※ディスク容量には、バックアップ領域が含まれます。 選んで納得のサービス内容 root 権限 リソース保証 マルチドメイン WordPressなど 人気アプリ データベース MySQL/postgreSQL 各種スクリプト CGI,PHP,Ruby C、C++、 JAVA利用可 ファイアーウォール バックアップ Parallels Plesk Panel VPSの特長 Linux VPSの特長 共用サーバー並みの低価格で、専用サーバー並みのリソースを利用したいお客様に最適なのが、WEBKEEPERSのVPS(仮想専用サーバー)です。1台の専用サーバーをレンタルするよりも遥かに安価で、管理者権限(ルート権限)を持つ自由で安定したサーバー環境をご用意しています。高速処理に長けたSSD搭載VPSを
ウノウラボ Unoh Labs: WEBアプリのテストに便利なFirefoxのアドオン
こんにちは! のりPと同い年ですが、クラブ通いは●年前に卒業しました やまもと@テスト番長です。 早いもので、もうお盆の帰省シーズンですね。 今年の夏は世間の騒がしい日々が続いておりますが、みなさんお変わりございませんでしょうか。 さて、Firefoxといえば豊富なアドオンですが、今回はテスター目線で WEBアプリケーションのテストに便利なFirefoxアドオンを並べてみたいと思います。 Firesizer ブラウザの画面サイズを整えることが出来ます。 InFormEnter 準備しておいた値を入力フォームにセットしてくれます。 MeasureIt 画面上のピクセルサイズを測ることが出来ます。 Regular Expressions Tester 正規表現での検索がその場で出来ます。 FireShot キャプチャにメモを書き込んだり出来ます。 Web Developer F
【ハウツー】YSlowでWebページを高速化 - リッチさと速さを同時に実現するUIを! (1) YSlowでWebページパフォーマンス計測 | エンタープライズ | マイコミジャーナル
Webページの表示パフォーマンスの向上は、Webデベロッパやフロントエンドプログラマにとって永遠の課題だ。ページの表示が速いかどうかは、ユーザの満足度に大きく影響する。リッチなUIや機能を実現しつつも、ページの表示は軽くしたい。 そこで重要になってくるのが、ページの読み込み速度を測定して分析してくれるツールの存在だ。Webページパフォーマンス計測ツールを使うことで定量的に状況を把握し、改善策を練ることができるというわけだ。Webページパフォーマンス計測ツールはいくつかあるが、最も導入が簡単で、かつ効果の高いもののひとつがYahoo! Developer Networkを通じて提供されているYSlowだ。執筆現在での最新版は0.9.2となっている。 YSlowはFirebugを活用しつつJavaScriptで開発されたWebページパフォーマンス計測ツール。Yahoo! Exceptional
ウェブページのパフォーマンスを評価して、改善点を指摘してくれる -Page Speed
ウェブページのパフォーマンスを評価して、改善点を指摘してくれるFirefox/Firebugのアドオン「Page Speed」を紹介します。 Introducing Page Speed Page Speedを利用するにはFirefox/Firebugが必要で、下記ページからダウンロードできます。 Page Speed 使用方法は簡単で、「Page Speed」のタブをクリックし、「Analyze Performance」をクリックするだけで、表示されているページのパフォーマンスの評価が始まります。
そろそろちゃんと理解したい!OpenID と OAuth ( ラボブログ )
スパイスラボ神部です。 OpenSocial をやってるとちょこちょこ顔を出す OpenID と Auth。これについてちゃんと理解するためのいろいろを調べてみたいと思います。 -シングル・サインオンが好きだ! - Favorites! OpenID まわりについて -OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic これは目から鱗。シングルサインオンとシステムの類似性があるわけだから、そこから理解するのがいいのかもね。 OpenID については要は「本人確認を取り除いた低コストな認証システム、ということなのかなあ。 その他の参考エントリ: -OpenIDの使いどころ - Yet Another Hackadelic -たけまる / OpenID に向いている認証と向いてない認証 -ID管理と OpenID について - まちゅダイアリー(2
Rubyによる構造化CSSライブラリ·Less MOONGIFT
CSSのメンテナンス性の悪さは言うに及ばないだろう。どうとでも書けてしまう手軽さはあるが、ファイルが分かれていたり、ネストしている場所としていない場所があったりするともう管理ができなくなる。ちょっとした変更がどこに影響するかも分からず、もはや触るのが怖くなる。 Lessの記述例 そんな訳でCSSは慣れれば慣れるほど使い方が難しい代物だ。そこでLessを使って分かりやすく管理してみよう。 今回紹介するオープンソース・ソフトウェアはLess、プログラミング的に記述するCSSライブラリだ。 Lessはコマンドラインのツールで、lesscというコマンドを利用する(lessは別コマンドで既に存在するので)。そして専用ファイルの.lessを変換し、.cssファイルを生成する。デザイナの方はCSSファイルを直接触らないようにする必要がある。 変換例 利用できる機能としては変数、階層構造、Mixin、計算
第65回 [図解]Webサイト構築プロジェクト・ワークフロー - Webデザイン エンジニアリング:ITpro
今回は,Webサイト構築プロジェクトのワークフローを俯瞰してみたいと思います。実際にクライアントから声がかかる場面から納品,つまり開発案件の完了までを12の「ステージ」に分けて図解してみました。思考のプロセス/人的配置/タスク/ツールなども一緒に記しています。少し大きな図になってしまいましたが,ご参考になれば。 図は,一番上は「4つのステップ/3つのタスク/12の要素(第62回 持続可能なWebサイト開発を支える12の要素)」。その下は,人的配置をロール(役割)ごとに記述しています。その下は,大まかなタスクのレベルです。それぞれの期間内に処理すべき項目を列挙しています。その下が,「ステージ」。プロジェクト全体を12のステージに分類して作業内容を整理しています。基本的には,その流れの順で進んでいきます。その下は,それぞれのステージのアウトプットのイメージで,更にその下にはよく使うファイルアイ
![第65回 [図解]Webサイト構築プロジェクト・ワークフロー - Webデザイン エンジニアリング:ITpro](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
メンテナンス中画面を出す正しい作法と.htaccessの書き方 | Web担当者Forum
今回は、Webサイトやサービスをメンテナンス中にする場合に、どのURLにアクセスしても「メインテナンス中です」の画面を出す正しいやり方を、人間にも検索エンジンにも適切にする作法を主眼に解説します。 この週末の土曜深夜~日曜早朝にかけて、データセンターの設備メインテナンスのため、Web担を含むインプレスグループのほとんどのWebサイトが、どのURLにアクセスしても「メンテ中です」という表示になっていました。 なのですが、その実装がちょっと気になったので、「正しいメンテナンス画面の出し方」を説明してみます。 ※2010-01-16 Retry-Afterを指定するHeaderの指定を修正しました(コメント参照) ※2009-06-17 RewriteCondから [NC] 条件を削除しました(コメント参照) ※2009-06-16 Retry-Afterの記述をGMTに変更しました(コメント参
PHP Development Company - Hire Senior PHP Developers - Astec
PHP is an open-source server-side scripting language widely used in web development. Mature and well-tested, PHP is constantly being developed to provide new features and become even more robust and flexible. Varied PHP frameworks allow developers to use powerful tools that facilitate the development process. Easy to start with but hard to master, PHP can be a beast if used properly by skilled dev
WEBアプリ開発に便利な機能&負荷テストツール集:phpspot開発日誌
15 Free Functionality And Load Testing Tools For Web Applications WEBアプリ開発に便利な機能&負荷テストツール集。 プログラム変更後の品質チェックを行える機能テスト・ユニットテスト、負荷に耐えられるか確認するために負荷テストツール、で品質向上に役立てられます。 Selenium等の定番以外にも沢山の機能テストツールや負荷テストツールがあるみたいです。 機能テストツール集 Seleniumのようなブラウザを自動で直接動作させて表示結果を確認するツール うまく運用すれば、機能を変更した際の正常動作確認に神経をすり減らすことがなくなります SeleniumHQ おなじみのテスト自動化ツール テストケース定義で自動でブラウザ上でテストしてくれます Watir Rubyのブラウザ自動化ライブラリだそう。 Windowsだと、IE、F
ゆーすけべー日記
サキとは彼女の自宅近く、湘南台駅前のスーパーマーケットで待ち合わせをした。彼女は自転車で後から追いつくと言い、僕は大きなコインパーキングへ車を停めた。煙草を一本吸ってからスーパーマーケットへ向かうと、ひっきりなしに主婦的な女性かおばあちゃんが入り口を出たり入ったりしていた。時刻は午後5時になる。時計から目を上げると、待たせちゃったわねと大して悪びれてない様子でサキが手ぶらでやってきた。 お礼に料理を作るとはいえ、サキの家には食材が十分足りていないらしく、こうしてスーパーマーケットに寄ることになった。サキは野菜コーナーから精肉コーナーまで、まるで優秀なカーナビに導かれるように無駄なく点検していった。欲しい食材があると、2秒間程度それらを凝視し、一度手に取ったじゃがいもやら豚肉やらを迷うことなく僕が持っているカゴに放り込んだ。最後にアルコール飲料が冷やされている棚の前へ行くと、私が飲むからとチ
RESTful webサービス(はじめに〜3章) - winplusの日記
とどきましたRESTful Webサービス。 ■はじめに Webはシンプルである=分散システムに最適なプラットフォームである (WS-*スタックはシンプルでない) この本では、WebサービスのベストプラクティスをROAとして記述した。 ROA(Resource-Oriented Architecuture):リソース指向アーキテクチャ ■1章 プログラマブルWebとWebサービス プログラマブルWeb 通常のWebサイトが人間向きのHTMLを返すのに対して、プログラム向きのXMLを返すWebサイト。 Webサービス プログラマブルWebが提供するサービス。 プログラマブルWebの分類 基準1. メソッド情報:どの操作をするのか 基準2. スコープ情報:どのデータを操作するのか スタイル メソッド情報 スコープ情報 例 RESTfulスタイル HTTPメソッド URIパス Amazon S3
Webアプリ開発における「内部APIモデル」 - Tous Les Jours 攻防記
前回の話は、一回のエントリーでは書ききれない内容でした。。以下もうすこし詳しく書き直してみます。 Webアプリ開発における「内部APIモデル」とは、ネットワーク越しに外部サイトのWebAPIを呼び出すかのごとく、自サイト内のリソースに対して内部専用のWebAPIでアクセスする仕組みを導入し、分散処理を行うモデルのことです。典型的なWebアプリでは、データベースがここでいうリソースに該当するかと思います。 図にすると以下のようなイメージです。 今回、Lang-8で実際に「内部APIモデル」を導入してみたので、気づきの点などをこのエントリーにまとめてみました。 ※導入のいきさつについては、前回のエントリーで触れています。 「内部APIモデル」を採用するメリット Webアプリ開発において「内部APIモデル」を採用するメリットは2つあります。 (1)言語やフレームワークの選択自由度が上がる 現在運
Webの負荷テストに使えるフリーソフトウェア | OSDN Magazine
Webアプリケーションおよびサーバの高負荷時の挙動を確認する方法の1つが、擬似的に負荷をかけてテストを行うことだ。ここでは、そうしたテストを実施するフリーソフトウェアをいくつか試し、それぞれがどんなタイプのサイトに適しているかを調べた。 負荷テスト用のツールはいろいろあるが、メンテナンスが行われていないもの、フリーでないもの、インストール手順が明確でないものを除くと、curl-loader、httperf、Siege、Tsung、Apache JMeterの5つが候補として残る。 JMeterについては、すでにDaniel Rubio氏が取り上げているので、ここでは詳しく説明しない。ただし、最後のまとめでほかのツールと共に簡単に触れている。 curl-loader curl-loaderは、「SpirentのAvalancheやIXIAのIxLoadの代替として使える強力かつ柔軟なオープン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クラウドでITエンジニアの仕事はどう変わると思いますか? - Server & Storage会議室