「(PHPで書かれたアプリケーションには)アバウトなコードが多い」。エレクトロニック・サービス・イニシアチブの大垣靖男社長は,2006年8月19日に開催されたPHP関連イベント「PHPカンファレンス2006」の講演「危険なコード」で,PHPで書かれたアプリケーションに存在する危険なコードを指摘した。講演の中では,実際に存在するアプリケーションの名前を出し,そのソースコードからセキュリティ上危険な個所を挙げていった。「安全なコードを書くには悪い例も知っておかなければならない」というのが同氏の主張である。 大垣氏はまず,「セキュリティのリスクはサブシステムとの境界の部分で発生する」と指摘した。サブシステムとは,データベース,メール・システム,ユーザーのWebブラウザといった外部のシステムのこと。「境界で入力時にきちんとバリデーション,出力時にきちんとエスケープ処理(フィルタリング)を行えば,か
JavaScriptの開発環境、要するにJavaScript用IDEという位置づけなのですが、HTML、CSSの構造をアウトラインで示してくれたり、文法の間違いを指摘してくれたり、やっていることはほとんどDreamweaverの持っている機能と同じです。 特に面白いのはJavaScriptやCSSなどがInternetExplorerとFirefoxに対応しているかどうかが一発で分かる点。JavaScriptのエラーについても細かい部分まで指摘してくれます。つまり、実行しなくてもエラーがドコにあるのか分かる「静的解析」が可能というわけ。 Windows、Macintosh、Linux版があり、Eclipseプラグインとして動作するバージョンもあります。 スクリーンショットや実際に動かして機能を解説しているムービー、ダウンロードは以下から。 Aptana: The Web IDE http:
ITMediaの記事が抽象的すぎて原理がわからなかったので、 BlackHat のやつのソースを斜め読みしてみた。 僕はいつも適当なので、間違いがあるかもしれません。 http://www.spidynamics.com/spilabs/js-port-scan/ http://japan.cnet.com/news/sec/story/0,2000056024,20185667,00.htm 簡単にまとめさせていただくと、 IFrame と Image#src により 任意のIPアドレスにアクセスさせ、 特定のタイムアウト時間(ハードコーディング/マジックナンバー) が 過ぎたらそのホストは生きていない判定をしている。 これは、Firebug で試してみたらなんとなく体感。 (new Image()).src = "http://IPアドレス"; としたときに、本当に存在すると 一瞬だが
JavaScriptを使って家庭や企業におけるネットワークの構成を把握し、接続されたサーバやプリンタ、ルータなどのデバイスを攻撃する方法を、セキュリティ研究者らが発見した。 こうした悪質なJavaScriptが埋め込まれたウェブページを一般のブラウザ上に表示すると、スクリプトが何の警告も表示しないまま実行されてしまうと、研究者らは述べる。また、これはユーザーのブラウザ上で動作するため、ファイアウォールなどのセキュリティ対策も回避するという。 ウェブセキュリティを専門にするSPI DynamicsのリードエンジニアBilly Hoffman氏は「われわれは、ネットワークをスキャンして見つかったすべてのウェブ対応デバイスを識別し、これらのデバイスに攻撃を仕掛けたり、コマンドを送信したりする技術を発見した。このテクニックを使えば、ファイアウォールで守られた企業のネットワークもスキャンできるように
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
更新: 2006年4月20日 スラッシュドットに「情報処理試験(2006年春)はどうでしたか (slashdot.jp)」というトピックができていますね。今回、「テクニカルエンジニア(情報セキュリティ)」という試験区分が新たに追加されたとのこと。 「情報処理技術者試験センター:問題冊子・配点割合・解答例 (www.jitec.jp)」として問題が公開されているので見てみましたが、ディレクトリトラバーサルやSQLインジェクションの攻撃手法を答えさせるものがあったりして、なかなか興味深いです。 個人的に印象深かったのは、拡張子指定を迂回する話ですね。Perl スクリプトで、外部から与えられた $fname という名前に対して '.cep' という文字列を連結してから open に渡しています。$fname は何もサニタイズされていませんが、プログラム内で '.cep' という固定の文字列が連結
1人の男と「大胆なまでの単純化」という魔法の言葉は、ウェブ開発の世界を変えることができるだろうか。 コペンハーゲン在住で26歳になるDavid Heinemeier Hanssonは、ウェブ開発者の生産性を上げるフレームワークを作り、ツールパッケージ製品をオープンソースプロジェクトとしてリリースした。 「Ruby on Rails」と称されるHanssonのソフトウェアは、発表されてからまだ1年余りであるものの、多くの開発者や、トレンドに追われるソフトウェア開発界の現状に敏感な企業幹部らの間で人気を獲得し始めている。 実用的かつ生産的なウェブ開発フレームワークを作ろうとするHanssonの挑戦は、少数の企業が幅をきかす開発分野であっても、1人の人間が現況を打破することができるという実例だ。 Hanssonは、プログラマの働き方に影響力を及ぼしてきたコンピュータ科学の常識を打ち壊し、「聖域に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く