mala

概要

http://co3k.org/blog/csrf-token-should-not-be-session-id について。

この記事では触れられていませんが、

• むかし、セッションIDをHTMLソース中に埋め込んでも脅威は変わらないと主張した人がいました
• 正確には「hiddenの値のみ漏れやすいような特殊な脆弱性が無ければ」という前提であったけれど、実際にそのようなバグはあったし、予見されていた。
• とても影響のある人だったので、色々なサイトや書籍がその方法を紹介し、安全なウェブサイトの作り方にも載ってしまいました

この際ハッキリ言っておくべきだと思うので書きますが、そもそもセッションIDを(HTMLソース中に埋め込む)CSRF対策トークンとして使うのは間違いでした。最初から間違っていたのです。正確に言うとCSRFの話は関係ないですね。CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません。

imaya

転職先の募集

これは退職エントリではなく退職届を出したので転職先を募集する求職エントリです。

退職と転職先募集

これといった大きな理由はないのですが細かい不満が溜まったため、今年いっぱいで退職することになりました。 細かい不満といってもチームメンバーや業務内容に文句があるわけではなく、逆に素晴らしい環境を提供していただいたと感謝しています。

aprock

import android.graphics.Bitmap;
import android.graphics.Bitmap.Config;
import android.graphics.BitmapShader;
import android.graphics.Canvas;
import android.graphics.Paint;
import android.graphics.RectF;
import android.graphics.Shader;

// enables hardware accelerated rounded corners
// original idea here : http://www.curious-creature.org/2012/12/11/android-recipe-1-image-with-rounded-corners/

shinyaohira

アプリの状態とマルチタスキング

全体的に簡略化し、必要と思われる部分を抜粋しました。

• Not running

  アプリは起動されていないか、実行されていたけれどもシステムによって終了されています。

• Inactive

kawanet

/** カタカナをひらがなに変換する関数
 * @param {String} src - カタカナ
 * @returns {String} - ひらがな
 */

function katakanaToHiragana(src) {
	return src.replace(/[\u30a1-\u30f6]/g, function(match) {
		var chr = match.charCodeAt(0) - 0x60;
		return String.fromCharCode(chr);
	});

ykzts

以下は https://codeiq.jp/ace/maeda_takeshi/q264 に対する解答として記述したものです。

--

1. このHTML文書はheader要素やsection要素を含んでおりHTML 5で書かれていると想像する事が出来るが、ルート要素であるhtml要素がxmlns:og属性を持っており、仕様違反となっている。一行目の <!DOCTYPE html> を取り除き、拡張子が .html となっているのであれば .xhtml と変更させ、Content-Typeを application/xhtml+xml として送出させるべきである。だが、動作保証環境中にあるIE 7に対応する為に該当する処理は避けなければならず、またxmlns:og属性はこのHTML文書中では必ずしも必要となっている物ではないので、単純に取ってしまえば良いであろう。

2. 「description」という値が入れられているname属性を持つmeta要素のcontent属性の値の文書中に「CodeIQ」という文字が出現しており、他の箇所との整合性が取れなくなってしまっている。他の箇所は大半が「Coder IQ」となっており、また前提での記載から鑑みて「Coder IQ」という文字で統一させるべき物であろうと想像出来る。

3. 「description」という値が入れられているname属性を持つmeta要素と、「og:description」という値が入れられているproperty属性を持つmeta要素と二つ存在するが、どちらも同様の意味を有す物であると想像する事が出来るが双方でcontent属性の値が相違えてしまっている。どちらか一方に内容を合わせる、もしくは片方を削除するべきであろう。「description」という値が入れられているname属性を持つmeta要素は現在多くのウェブ検索エンジンを提供するサービスに於いて無視されてしまう物となっており、現在有効に使われている例はそうない。だが他方、「og:description」という値が入れられているproperty属性を持つmeta要素は、Facebookという現在広く使われているウェブサービスに於いてURIの共有が行われた際に該当するウェブページの内容を説明する

mala

どういう問題があったか

説明するのめんどい http://vividcode.hatenablog.com/entry/twitter-oauth-vulnerability

どういう対策がされたか

• 第一段階: locationヘッダでの自動リダイレクトからmetaタグでのリダイレクトに変更(X-Frame-Optionsが効くので、iframe総当り攻撃が困難に)
• 第二段階: https://dev.twitter.com/blog/changes-to-sign-in-with-twitter

とりあえず即座に攻撃できるような状態ではなくなっています。

フィッシング？

mala

@ITやテッククランチがアホすぎてつらい。

• http://www.atmarkit.co.jp/ait/articles/1302/15/news090.html
• http://jp.techcrunch.com/archives/20130214heroku-admits-to-performance-degradation-over-the-past-3-years-after-criticism-from-rap-genius/

要約

Rap GeniusというサービスがHerokuに月額2万ドル払っていて、そのサービスに満足していたという。 内訳はよくわからないが、Herokuの「サクセスストーリー」に公開されているところによると、彼らはWeb用のdynoを120使っているとのこと。 http://success.heroku.com/rapgenius

New Relic(サードパーティのパフォーマンス計測アドオン)には年間 $63116.13 払っているという。

mala

平文でパスワード保存されていた？と推測する奴は頭がおかしいのでエンジニアやめろ。

----

まず事実関係

MUFGは、ID登録及び、ログインの際に、パスワード規定文字数を超えて「入力することができませんでした」と主張している。
http://www.cr.mufg.jp/corporate/info/pdf/2012/121120_01.pdf

リニューアル前の直近のログインフォームでは、password入力のinput要素に各提携先に応じたmaxlengthが設定されていて、

debility-zz

mysqlcf2 log 20121018

MySQL Casual Talks Fukuoka #2

---

@Spring_MT はじめに
発表すること（内容じゃなくて）をcasualに
椅子もまさかりも飛んでこない
情報共有≠事業価値の欠損