Skip to content

Instantly share code, notes, and snippets.

@mala
mala / gist:9086206
Created Feb 19, 2014
CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった
View gist:9086206

概要

http://co3k.org/blog/csrf-token-should-not-be-session-id について。

この記事では触れられていませんが、

  • むかし、セッションIDをHTMLソース中に埋め込んでも脅威は変わらないと主張した人がいました
  • 正確には「hiddenの値のみ漏れやすいような特殊な脆弱性が無ければ」という前提であったけれど、実際にそのようなバグはあったし、予見されていた。
  • とても影響のある人だったので、色々なサイトや書籍がその方法を紹介し、安全なウェブサイトの作り方にも載ってしまいました

この際ハッキリ言っておくべきだと思うので書きますが、そもそもセッションIDを(HTMLソース中に埋め込む)CSRF対策トークンとして使うのは間違いでした。最初から間違っていたのです。正確に言うとCSRFの話は関係ないですね。CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません。

@imaya
imaya / gist:7215823
Last active Jul 13, 2017
転職先の募集
View gist:7215823

転職先の募集

これは退職エントリではなく退職届を出したので転職先を募集する求職エントリです。

退職と転職先募集

これといった大きな理由はないのですが細かい不満が溜まったため、今年いっぱいで退職することになりました。 細かい不満といってもチームメンバーや業務内容に文句があるわけではなく、逆に素晴らしい環境を提供していただいたと感謝しています。

@aprock
aprock / RoundedTransformation.java
Created Aug 12, 2013
Rounded Corner Image Transformation for square's Picasso
View RoundedTransformation.java
import android.graphics.Bitmap;
import android.graphics.Bitmap.Config;
import android.graphics.BitmapShader;
import android.graphics.Canvas;
import android.graphics.Paint;
import android.graphics.RectF;
import android.graphics.Shader;
// enables hardware accelerated rounded corners
// original idea here : http://www.curious-creature.org/2012/12/11/android-recipe-1-image-with-rounded-corners/
@shinyaohira
shinyaohira / App States and Multitasking.md
Last active Jul 15, 2021
アプリケーションの状態とマルチタスキング
View App States and Multitasking.md

アプリの状態とマルチタスキング

全体的に簡略化し、必要と思われる部分を抜粋しました。

  • Not running

    アプリは起動されていないか、実行されていたけれどもシステムによって終了されています。

  • Inactive

@kawanet
kawanet / hiragana-katakana.js
Last active Feb 10, 2021
カタカナをひらがなに変換する JavaScript 関数、 ひらがなをカタカナに変換する JavaScript 関数
View hiragana-katakana.js
/** カタカナをひらがなに変換する関数
* @param {String} src - カタカナ
* @returns {String} - ひらがな
*/
function katakanaToHiragana(src) {
return src.replace(/[\u30a1-\u30f6]/g, function(match) {
var chr = match.charCodeAt(0) - 0x60;
return String.fromCharCode(chr);
});
View a264.md

以下は https://codeiq.jp/ace/maeda_takeshi/q264 に対する解答として記述したものです。

--

  1. このHTML文書はheader要素やsection要素を含んでおりHTML 5で書かれていると想像する事が出来るが、ルート要素であるhtml要素がxmlns:og属性を持っており、仕様違反となっている。一行目の <!DOCTYPE html> を取り除き、拡張子が .html となっているのであれば .xhtml と変更させ、Content-Typeを application/xhtml+xml として送出させるべきである。だが、動作保証環境中にあるIE 7に対応する為に該当する処理は避けなければならず、またxmlns:og属性はこのHTML文書中では必ずしも必要となっている物ではないので、単純に取ってしまえば良いであろう。

  2. description」という値が入れられているname属性を持つmeta要素のcontent属性の値の文書中に「CodeIQ」という文字が出現しており、他の箇所との整合性が取れなくなってしまっている。他の箇所は大半が「Coder IQ」となっており、また前提での記載から鑑みて「Coder IQ」という文字で統一させるべき物であろうと想像出来る。

  3. description」という値が入れられているname属性を持つmeta要素と、「og:description」という値が入れられているproperty属性を持つmeta要素と二つ存在するが、どちらも同様の意味を有す物であると想像する事が出来るが双方でcontent属性の値が相違えてしまっている。どちらか一方に内容を合わせる、もしくは片方を削除するべきであろう。「description」という値が入れられているname属性を持つmeta要素は現在多くのウェブ検索エンジンを提供するサービスに於いて無視されてしまう物となっており、現在有効に使われている例はそうない。だが他方、「og:description」という値が入れられているproperty属性を持つmeta要素は、Facebookという現在広く使われているウェブサービスに於いてURIの共有が行われた際に該当するウェブページの内容を説明する

@mala
mala / gist:5062931
Last active Mar 18, 2020
TwitterのOAuthの問題まとめ
View gist:5062931

どういう問題があったか

説明するのめんどい http://vividcode.hatenablog.com/entry/twitter-oauth-vulnerability

どういう対策がされたか

とりあえず即座に攻撃できるような状態ではなくなっています。

フィッシング?

View gist:4986504

@ITやテッククランチがアホすぎてつらい。

要約

Rap GeniusというサービスがHerokuに月額2万ドル払っていて、そのサービスに満足していたという。 内訳はよくわからないが、Herokuの「サクセスストーリー」に公開されているところによると、彼らはWeb用のdynoを120使っているとのこと。 http://success.heroku.com/rapgenius

New Relic(サードパーティのパフォーマンス計測アドオン)には年間 $63116.13 払っているという。

@mala
mala / gist:4129717
Created Nov 22, 2012
NICOSパスワード8文字切り詰め制限祭りまとめ
View gist:4129717
平文でパスワード保存されていた?と推測する奴は頭がおかしいのでエンジニアやめろ。
----
まず事実関係
MUFGは、ID登録及び、ログインの際に、パスワード規定文字数を超えて「入力することができませんでした」と主張している。
http://www.cr.mufg.jp/corporate/info/pdf/2012/121120_01.pdf
リニューアル前の直近のログインフォームでは、password入力のinput要素に各提携先に応じたmaxlengthが設定されていて、
@debility-zz
debility-zz / gist:3911223
Created Oct 18, 2012
mysqlcf2 log 20121018
View gist:3911223
mysqlcf2 log 20121018
MySQL Casual Talks Fukuoka #2
---
@Spring_MT はじめに
発表すること(内容じゃなくて)をcasualに
椅子もまさかりも飛んでこない
情報共有≠事業価値の欠損