スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

2月13~14日のtwitterセキュリティクラスタ

世間ではバレンタインデーとか大雪とか言ってますが、外に出ないと何事もなく一日が過ぎていきますね。チョコレートは嫌いじゃないので、余ったら贈って下さいお願いします。

実は今まで秘密だったのですがレビュアーをやらせていただいた、徳丸さんの書籍が予定発売日をすっ飛ばすこともなく無事に発売されるようです。
ockeghem: 最後の著者校正していますよ。470ページを一気にチェックするのは大変。この期に及んで、結構ミスが見つかるのがなんとも

ockeghem: 日記書いた #wasbook / 「体系的に学ぶ 安全なWebアプリケーションの作り方」3月1日発売です - ockeghem(徳丸浩)の日記 http://htn.to/DbgTk3


それだからというのではないのですが、書籍のサンプルコードのレビューをする話題です。書籍の立ち位置や著者の考え方によって対策はさまざまなんでしょうけど、単純な脆弱性が残ったままだと買った読者も後々迷惑すると思いますので、書くときは攻撃に強いコードにするか、紙面の都合でセキュリティ対策してないと言い訳して下さいw
ikepyon: この間PHPの本を立ち読みしてたら、sql="select * from hoge where id=".mysql_escape_string($hoge).";"見たいなコードを見かけた。初版は去年だったorz

ikepyon: mysql_escape_stringじゃなくてmysql_real_escape_stringだったけかな。

ockeghem: @ikepyon クォートしていないってこと?

ikepyon: @ockeghem 数値データなのに無駄にエスケープしてるってことです。

ikepyon: @ockeghem 前後からするとどうもエスケープの意味をよく理解してないっぽかったんです

ockeghem: @ikepyon 珍しくない例ですね>数値をエスケープ

ikepyon: @ockeghem そうなんですよねぇ。で、エスケープしているから安全とか思っちゃってるっぽいので、困ったコードだなぁと。クォートしているか、数値チェックしてればいいんですけど、確か両方やってなかった。

ikepyon: 元の$hogeは入力パラメーターだったかな?

ockeghem: @ikepyon htmlspecialcharsしてないだけマシw どっちにしても脆弱ですが

ikepyon: @ockeghem どうも、その本が売れているらしく、既に増刷されていたのですw

ockeghem: @ikepyon 僕が見た本は文字列リテラルがダブルクォートで囲まれていました。MySQLだったので間違いではないですが、どうしてわざわざ非標準を教えるのかと思いました

kenji_s: @ikepyon 「PHPの教科書」ではないですよね?というかないことを祈りたいです

ikepyon: @kenji_s ちょっと覚えてないです。

ikepyon: @kenji_s コードサンプル見てみたら、part5-2のview.phpが妙ですね。sprintfで%dに入れ込むところを無駄にmysql__real_escape_stringでエスケープしてます。これやるなら数値チェックした方がいい気がしますが


そして、もう1つの書籍ネタ。増刷おめでとうございます。
yarai1978: 『アナライジング・マルウェア』2刷が刊行されました。皆さん本当にありがとうございます。


IEをテストとIEでしか見られないサイトを見るのにしか使わなくなって久しいのですが、もうそろそろIE9のベータが取れたりするのでしょうか。
hasegawayosuke: IE9、いままでのMSだと考えられないくらい非互換な動作が入ってますね。

bakera: [メモ] IE9では :visitedのスタイルを変更できなくなる。 http://subtech.g.hatena.ne.jp/mayuki/20110210/1297359952

rryu2010: IEのXDomainRequestについて。 / ドメイン間要求 (XDR) の概要 http://htn.to/uDRzGG

futomi: Windows Phone 7 に IE9 を搭載するらしい。これでやっとスマート・フォンと呼べるようになるかな :) http://goo.gl/OwSl0 [en] (via @IE)



あと気になったことはこのあたり。
bulkneets: document.URL内の"がエンコードされるかどうかがブラウザ依存なのでXSSが可能だとコメントした(まだ反映されてない) http://bit.ly/eDuzj0


piyokango: 情報セキュリティ月間のサイト、苦情でもあったのかSNSのリンクが別ページになってました。あと別組織へのリンクに記載されている注意書きもこっそり変更されてますね。http://bit.ly/h2YlPl


EijiYoshida: Vistaに対するIEEE1394経由のDMAによるスクリーンロックの強制解除が成功 http://d.hatena.ne.jp/EijiYoshida/20110214/1297670768


vulcain: お寒い内容ですね RT @office_acer スマートフォンと銘打った講義がない時点で最早。 QT @ikepyon: 内容見るとスマートフォン関係なくね? http://www.nec.co.jp/seminar/110302websec/


ripjyr: 次回まっちゃ139勉強会は、3月12日(土曜日)で、セキュリティキャンプキャラバンとのコラボ勉強会です。そして参加費は無料!もう少し待っていてね!

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。