Skip to content

Instantly share code, notes, and snippets.

View s-aska's full-sized avatar

Shinichiro Aska s-aska

175 followers · 164 following
View GitHub Profile
@imaya
imaya / gist:7215823
Last active July 13, 2017 19:46
転職先の募集

転職先の募集

これは退職エントリではなく退職届を出したので転職先を募集する求職エントリです。

退職と転職先募集

これといった大きな理由はないのですが細かい不満が溜まったため、今年いっぱいで退職することになりました。 細かい不満といってもチームメンバーや業務内容に文句があるわけではなく、逆に素晴らしい環境を提供していただいたと感謝しています。

@mala
mala / gist:9086206
Created February 19, 2014 04:49
CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった

概要

http://co3k.org/blog/csrf-token-should-not-be-session-id について。

この記事では触れられていませんが、

  • むかし、セッションIDをHTMLソース中に埋め込んでも脅威は変わらないと主張した人がいました
  • 正確には「hiddenの値のみ漏れやすいような特殊な脆弱性が無ければ」という前提であったけれど、実際にそのようなバグはあったし、予見されていた。
  • とても影響のある人だったので、色々なサイトや書籍がその方法を紹介し、安全なウェブサイトの作り方にも載ってしまいました

この際ハッキリ言っておくべきだと思うので書きますが、そもそもセッションIDを(HTMLソース中に埋め込む)CSRF対策トークンとして使うのは間違いでした。最初から間違っていたのです。正確に言うとCSRFの話は関係ないですね。CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません。

@lgvalle
lgvalle / gist:3ad43349c4e0202ec147
Last active August 8, 2016 03:52
rxjava + twitter4j
public class HomePresenterImpl implements HomePresenter {
private static final String TAG = HomePresenterImpl.class.getSimpleName();
private final HomeScreen screen;
private final DataProvider provider;
private Subscription subscription1;
public HomePresenterImpl(HomeScreenImpl screen, DataProvider dataProvider) {
this.screen = screen;
this.provider = dataProvider;
}
@tokuhirom
tokuhirom / epoch
Created May 16, 2014 09:52
The epoch command
#!/usr/bin/env perl
use strict;
use warnings;
use Time::Piece;
use Pod::Usage;
&main; exit;
sub show($) {
my $time = shift;
@k1LoW
k1LoW / fusic20.md
Last active December 9, 2018 01:36
Fusicの20の信条

Fusicの20の信条

  • 働く人がイキイキとしている
  • デキる人になる
  • とことん働き、とことん遊ぶ
  • 尖る
  • 常に+αを考える
  • 速く
  • 全力でやる
  • 諦めが悪い
@cucmberium
cucmberium / gist:e687e88565b6a9ca7039
Last active February 28, 2024 01:23
Twitterの検索API & Twitterでの検索術

twitterの検索術 (search/tweetssearch/universal)

search/tweets では一週間以上前のツイートは検索できないので注意

search/universal は公式のConsumerKey/ConsumerSecretでないと使用できない

当方では一切の責任を負いません

@tomcha
tomcha / yapc_tote.pl
Created August 20, 2015 16:45
yapc_tote.pl
#!/usr/bin/env perl
use strict;
use warnings;
my @array = ( 115, 117, 112, 112, 111, 114, 116, 101, 100, 32, 98, 121, 32, 76, 105, 118, 101, 115, 101, 110, 115, 101, 32, 73, 110, 99, 46, 10);
for my $c (@array){
printf "%c",$c;
}
@shunirr
shunirr / app.rb
Created April 8, 2016 03:30
LINE Bot API Proxy
require 'sinatra'
require 'httpclient'
CALLBACK_URI = URI.parse('http://example.com/callback')
configure do
set :httpclient, HTTPClient.new
end
post '/callback' do
@shunirr
shunirr / config.ru
Last active April 11, 2016 16:25
require 'rubygems'
require 'rack/reverse_proxy'
use Rack::ReverseProxy do
reverse_proxy '/callback', 'http://example.com/'
end
app = proc do |env|
[ 200, {'Content-Type' => 'text/plain'}, ["OK"] ]
end
@mala
mala / gist:457a25650950d4daf4144f98159802cc
Last active September 28, 2016 12:55
CVE-2016-7401 CSRF protection bypass on a site with Google Analytics の解説

CVE-2016-7401

多くのcookie parserは、pairsの区切りとして ; と , を許容しているのでdjango以外にも影響がある。 ブラウザが使用するcookie pairの区切りは実際には ;