参考になるに関するotchy210のブックマーク (10)

  • [気になる]JSONPの守り方

    XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見

    [気になる]JSONPの守り方
    otchy210
    otchy210 2009/08/11
    JSONP を実装する場合でも、JavaScript を動的に生成する時と同様の注意が必要。という話。そう解釈すれば、当たり前の事のように感じるな。
  • システム開発に欠かせない契約の基礎知識まとめ - GoTheDistance

    先日識者の方に色々教わったのでメモっておきます。知ってそうで知らない、元々よくわからない、そういう方に向けてまとめてみました。 僕がSIにいた頃は大抵「基契約」と「個別覚書」ってのがありました。納期とかお金とかそういうのは個別覚書に書かれたりしていました。 開発の契約体系 「仕様策定〜開発まで」と「保守運用」で別契約にすることが多い。 「仕様策定フェーズ」で1つの契約にして、別に新しく契約を締結しなおせるほうが望ましい。リスクが低減できる。 仕様策定までは準委任、開発は請負、保守運用は準委任という契約が多い。 ちなみに準委任は「事務作業の代行」という意味合い。委任は「法的効力がある作業」の代行。サムライビジネスは後者が多い。 別に運用が事務作業とイコールじゃないけど、成果を問わないタイプの契約の場合は役務提供という位置づけになる。 かといって契約で「僕らのコンサル案を僕らが実施し成果が出

    システム開発に欠かせない契約の基礎知識まとめ - GoTheDistance
    otchy210
    otchy210 2009/06/16
    最近ちょっと困っているので。いまこれを読んでも遅いんだけども。
  • IDEA * IDEA

    ドットインストール代表のライフハックブログ

    IDEA * IDEA
    otchy210
    otchy210 2009/04/23
    光源を意識した立体物のハイライト/陰の付け方。
  • けんじろう と コラボろう! > 学校裏サイトで娘が実名で攻撃され、父としてメールを送ってみた。 : ITmedia オルタナティブ・ブログ

    高校の娘が学校裏サイトとやらで攻撃された。 攻撃の内容は、私のような第三者(親だが)から見れば、極めて些細なものだ。無視すればいいのではないかと思っていた。また、この件があるまで、「裏サイト」とか「2チャンネル」というものを知らず、もちろん、見たことも無かった。うちの若者から「吉田さん2チャンで話題になってましたよ」と聞いたことはあったし、学校裏サイトも先月に娘と見た金八先生で見たイメージぐらいしか、持っていなかった。 書込みの内容は以下のようなものだ。(学校などが想定できる発言を削除してある。言葉尻もなおした) <誹謗中傷の内容> 「、、○○(私の娘の実名)って、いろんなところで、みんなの悪口を言ってるらいしいよ」 「○○(くん)に色目つかってない?うざいよね。 ○○(くん)も無理に付き合わずに○○(私の娘の実名)を無視すればいいのに。」 「○○(娘)の顔ってヒドクない? 臭そう。 誰か

    けんじろう と コラボろう! > 学校裏サイトで娘が実名で攻撃され、父としてメールを送ってみた。 : ITmedia オルタナティブ・ブログ
    otchy210
    otchy210 2009/02/25
    子を持つ親として。
  • ハコモノ行政はもうたくさん、でもヤネモノ行政はいけそう : 404 Blog Not Found

    2009年02月18日02:30 カテゴリSciTechTaxpayer ハコモノ行政はもうたくさん、でもヤネモノ行政はいけそう わかってないなあ。 痛いニュース(ノ∀`):勝谷氏の「20兆円で日中の住宅にソーラーパネルを設置」案、民主党が採用へ? どっちも。 太陽光発電の現状に関しては、Wikipediaがむちゃくちゃ詳しい。 新・太陽電池を使いこなす 桑野幸徳 太陽光発電 - Wikipedia 太陽光発電の環境性能 - Wikipedia 太陽光発電の資源量 - Wikipedia 太陽光発電のコスト - Wikipedia 一般書では「新・太陽電池を使いこなす」がやはり一番のお勧めなのだけど、初版が1999年で、さすがに手に入りにくくなっているので、まずは上の記事を読んで欲しい。 で、ねらーとはてな村民の多くがしている誤解をまず解く。 「原発作れよ、原発」 私も一技術者として、実

    ハコモノ行政はもうたくさん、でもヤネモノ行政はいけそう : 404 Blog Not Found
    otchy210
    otchy210 2009/02/18
    良い分析
  • WordPressのテーマのファイル構成一覧と解説(2.7対応版) | コリス

    WordPressのテーマを構成するファイルの種類、優先順位と条件タグ・インクルードタグのまとめです。 ファイル自体は2.3から変更は無いですが、2.7では詳細や階層が若干変更されています。 テーマを構成するファイルの種類 テーマを構成するファイルの優先順位 条件タグ・インクルードタグ 参考 テーマを構成するファイルの種類 テーマに必要なファイルは「index.php」「style.css」の2つです。 2ファイルで対応できない場合は、デフォルトのテーマファイルのものが使用されます。 「style.css」では、下記のコメントを使用して、管理画面にテーマの情報が表示されます。 テーマの情報:style.cssのコメント /* Theme Name:[テーマの名称] Theme URI:[テーマのURI] Description:[テーマの説明] Author:[テーマの制作者] Autho

    otchy210
    otchy210 2009/01/21
    これがあれば、ゼロから WP のテーマが作れそう。
  • IE8 の DOM のプロトタイプと Getter/Setter API はどうなるか - IT戦記

    ちょっと前に Microsoft 公式に以下のような発表がありました。 Responding to Change: Updated Getter/Setter Syntax in IE8 RC 1 – IEBlog また、以下のようなドキュメントも公開されています。 Internet Explorer for Developers | Microsoft Docs Internet Explorer for Developers | Microsoft Docs これらの内容での概要を自分なりにまとめてみます。 概略 要点は DOM オブジェクトのプロトタイプが使えるようになる DOM オブジェクトに既存の Getter/Setter API が使えるようになる DOM オブジェクトに ECMAScript 3.1 の Getter/Setter API(PropertyDescripto

    IE8 の DOM のプロトタイプと Getter/Setter API はどうなるか - IT戦記
  • gmailで添付ファイルが自動でアップロードされるしくみ - bits and bytes

    gmailでメールを書くとき、添付するファイルを選んでからしばらくすると、いつの間にか添付ファイルがアップロードされています。 添付するファイルを選ぶと、はじめファイル名が表示されていたのが 自動的にアップロードされて、名前とファイルサイズが表示されています! 実は、あまり名前も聞かなくなった Google Page Creator がリリースされたときにいちばんびっくりしたのはページの右下にこのgmailの自動アップロードとよく似たしくみがあったことでした。で、さっそく解析してマネしてみたことがあります。今回はgmailでその仕組みを見てみます。 ちなみにその Google Page Creator には、ログインすると右下にこんな ファイルをアップロードするのに使う部分があります。 gmailの場合、メールが自動保存されるタイミングでアップロードされているかんじでしたが、こっちのはBr

    otchy210
    otchy210 2009/01/06
    画面遷移をせずにファイルをアップロード。案外簡単。
  • 高木浩光@自宅の日記 - 私のMacintosh環境

    ■ 私のMacintosh環境 昨年はMacに戻ってきた年だった。TigerのときにもMacにスイッチしようと思ったが、いまひとつ使いにくいと感じたのと、軽いノート型がなかったので断念していた。それが、MacBook Airが発表されたのと、自宅にMac miniを買ってLeopardの使いやすさに触れ、アルミニウム型キーボードの打ちやすさにも感激したことで、ついにスイッチを決意したのだった。 Leopardはあまりカスタマイズがいらないと感じたが、いくつか必要なところがあった。以下、自分用のメモがてら、どんなカスタマイズをしたかまとめておく。USキーボードを使っていて、Emacsのキーバインドに慣れていることを前提としている。 キー入力のカスタマイズ 記号入力の慣れからUSキーボードを使わざるを得ないが、そうすると日本語入力でやや問題が生ずる。また、矢印キーを使いたくないので、ほとんどの

    otchy210
    otchy210 2009/01/05
    高木センセの Fx エクステンション。いかにもなラインナップ。
  • IPv6 とかよくわからない人間が IPv6 対応サイトを作る際の知っておくべき 8 つの注意点 : にぽたん研究所

    先日、一般や企業向けに IPv6 対応を支援をする、EDGE Co.Lab v6 というのを始めました。 これを始めるにあたって、弊社情報環境技術研究室の伊勢さんから、「なんかウチでやってるコンテンツで、どれか IPv6 対応しようよ」と、いきなり言われました。 実は IPv6 って何年も前からよく耳にするけど、特にインフラまわりの知識が拙いし、何だかんだ身の回りのほとんどが IPv4 で、それでまぁウマくいってるからよくわからないし、別にどうでもいい…と、IPv6 に対して「現実味がない。時期尚早なのでは?」みたいな勝手な印象を抱いて、毛嫌いしてました。 伊勢さんは 2chIPv6 板とかを立ち上げたらしく、IPv6 でアクセスすると、トップページのひろゆきが踊って表示されるそうです。 IPv6 と IPv4 の差って、ひろゆきが踊るか踊らないかの差だけ?とか、そうじゃないのをわか

    otchy210
    otchy210 2008/12/16
    来るべき IPv6 時代のために
  • 1