13日の金曜日に、翔泳社主催のDevelopers Summit 2009に行ってきたよ!!
○とったセッション
・Programming the Cloud / クラウドをプログラミングする
・「Delphi for PHPのエバンジェリストが、日本のPHPエバンジェリストと、PHPとIDEの今と未来を語る」
・RIA開発をとりまく技術の進化と環境の変化
・Java VM への処方箋 〜先進のメモリ管理技術とは〜
・アーキテクトって何ですか? 〜普段の仕事と、マイクロソフト認定アーキテクト取得で学んだこと〜
・ひよこクラブ ver.Engineer
・Webセキュリティ攻守攻防パネルディスカッション 「Webアプリケーション / Ajaxセキュリティ徹底バトル」
○Programming the Cloud / クラウドをプログラミングする
行ってから気づいた!!Googleの中の人のセッションだった!!!
英語なので通訳さんがいるんだけど、AdobeMAXのような"同時"通訳じゃなくて、
Speakerが英語でしゃべって、それを通訳さんが日本語でしゃべって、って感じだから、
Listeningの勉強にもなる!!!
んで、肝心の内容は、
・クラウドのACIDについて
原子性(Atomicity)、一貫性(Consistency)、独立性(Isolation)、永続性(Durability)ではなく、
Associative, 可換性(Commutative), 等冪性(Idempotent), Distributedって意味のACID
Associative -> (A+B)+C と A+(B+C) は同じ結果になる
Commutative -> A+B と B+A は同じ結果になる
Idempotent -> 2回やれば2回とも同じ結果になる
・GFS(Google File System)による障害対策
Googleほど大規模になると、HDDも何万台ってあるから、障害は必ず起こるって考えて、
障害にも対応したファイルシステムを独自に構築しなきゃみたいなことを言ってたような・・・
・Map Reduce
よくわかんないけど、クラウドでプログラムを書く時にインターフェース?かな
スライドに載ってたサンプルが↓
1行ずつ順番に解析するんじゃなくて、複数のマシンで並列的に処理する関数で、
なんか単語を登録して数を1にしてる
reduceが、いろんなとこから解析されたデータを合計する関数?
よくわからんから次www
その他、ノートにメモってあるキーワード
Hadoop, Sawzall
○「Delphi for PHPのエバンジェリストが、日本のPHPエバンジェリストと、PHPとIDEの今と未来を語る」
ペチパーでもないし、Delphiとか先輩の課題を代わりにやったときにちょっとやったかなって感じだけど、IDEを作る人の話ってことでとってみた。
Delphi for PHPは、FlexBuilderのデザインモードみたいな感じで、コンポーネントをぺたぺた貼っていくことによって、Viewを作って、そいつらのイベントをすぐにphpで書けるようにする機能をもったIDEらしい。
html+javascriptでコンポーネントを作って、それをカプセル化する。
そしてそういうコンポーネントをたくさん用意して配置するだけって発想はいい感じ。
でも、Flexフレームワークって実はそれなんよね・・・
FlexBuilder, FlashCatalystと比較しながら聞いてたら、なんか残念な気持ちになった。
Delphi for PHPの課題をちょっと考えてみたんだけど、
・チームで制作する際に、マージがうまく出来ないといけない
-> FlexBuilderだとEclipseで既に出来てるし、mxmlはxmlだから問題なし
・デザイナーが簡単にこったものを作れる。
-> FlashCatalystが神。イラレ&フォトショからViewに変換出来て、さらにStateとかEffectとかもFlashIDEっぽく作れるし、右クリック->テキストインプットとかで選んだものがテキストインプットになったりする。
・コンポーネントの拡張性。カプセル化されたコンポーネントを独自に増やしたり、拡張したり
-> UIComponentを継承すれば、全く新しいコンポーネントを作ることが出来るし、既存のコンポーネントも継承して関数をオーバーライドできる。
・IDEの拡張性
-> FlexBuilderもFlashCatalystもEclipseベースなのでプラグインを後から追加出来る
こう思うと、Flexスゲー!!!!!FlexBuilderスゲー!!!FlashCatalystスゲー!!!
そして、このDelphi for PHPは、FlexやSilverLightと同じ道を歩んでいくんじゃないかな??
IDEとしての完成度は、これら2社のものに比べるとまだまだかもしれないけど、
そもそも言語が違うから、まぁありなんじゃね?
○RIA開発をとりまく技術の進化と環境の変化
お昼ご飯食べた後で眠くてあんま覚えてない><
てか、こういうイベントとかでFlexとかのセッションを取るのはやめよう。
すでに聞いたことある話が多い・・・
○Java VM への処方箋 〜先進のメモリ管理技術とは〜
ガーベッジコレクションの話だったんだけど、メモリを意識したプログラミング手法みたいなのとは全然違った。
大規模案件になるとVMって自分で作るのかな??
HITACHIが改良したGCの仕組みについて説明してた。内容的には、ゼンゼンいいんだけど、
その製品、オレ使わないしwww独自に実装とかもやらないしwww
でっていうって感じ
○アーキテクトって何ですか? 〜普段の仕事と、マイクロソフト認定アーキテクト取得で学んだこと〜
結論、
アーキテクトって役職は会社によってあったりなかったりだし、あっても、会社によって全然違う!!
○ひよこクラブ ver.Engineer
プログラマーの勉強について
・ver.Java(Yoshioriさん)
Yoshioriさん!!この人すごい人!!!ブログで彼女を募集しちゃうすごい人!!!
みんなブログで、Yoshioriの彼女になりたい!って書くといいよ!!!
真っ赤な髪だから桜木花道みたいなイメージだったけど、ゼンゼン違った!!!
内容は、
Output < Input
OutputよりInputをしなさいって意味じゃなくて、Outputをすると以上にInputが得られるよ!!!ってこと
□ブログに書く
間違えても誰かが指摘してくれるし、間違えることよりも間違えて覚えている方が恥ずかしい!!
コメントとかフィードバックもらえると嬉しい
ブログに書いておくと、後で忘れてもググれる!!外部記憶装置最高!!!
□人に聞く
聞いた方が早いじゃん!!
聞く時も1人に聞くよりも複数人に聞いた方が、いろんな見方があるってわかる!!
みんな優しいから、意外と「ググれカス!」なんて言われないよ!!
□コードを書く
サンプルとかで勉強する時も、コピペじゃなくて、自分で打つ!!
ある言語で書かれたものを他の言語に移植とかすると結構勉強になる!!
□コードを読む
他人のコードを読む!!
GoogleCodeSearchとかCodeReposとかどう書く.orgとか
□RSSで読む
ブログを読む!!
はてなアイデアの新着RSSとか、ユーザが求めているものが分かるから、はてなだけに使わせるのはもったいない!!
はてなキーワードで、例えばJavaとかでアンテナはっておく!!
・ver.JavaScript(堀さん)
Yahoo!の中の人!!
・情報収集
□Webサイト
はてぶ、deliciausのタグで絞り込んで新着フィードを読む!!
JavaScriptは人のサイトで、「ソースを見る」とコードが見れる!!
言語の仕様書を読む!!
□ブログ
id:amachangやid:javascripterやJohnResig(JQueryの作者)のブログとか!!
□勉強会
Shibuya.JS、若手IT勉強会、Kanasan.JS
・実践
□サンプル見て自分でも書く
□トライ&エラー
□アウトプット
・ver.PHP(市井さん)
Greeの中の人!!
1. 形から入る。とりあえず、elePHPantぬいぐるみ買っとくwww
2. 身時かな存在に
3. 慣れてきて
4. マニアックな方向に
「これ(例えば特定のフレームワーク)には詳しい」ってのをとりあえず1個つくる!!
ひとつでも強いものが出来れば自信がつく!!
phshっていうのがちょっとしたコードを検証するのに便利!!
Javaでいう、Dr.Javaみたいなの!!
#ASってこういうのないのかな??
・ver.Perl(谷口さん)
ライブドアの中の人
自己紹介が、
「嫌いなものは、チョコレート」
「なので・・・」
「いりません!!」
ここから内容w
ブログに書くってのは、みんなと一緒で、
カンファレンスや勉強会でしゃべる、雑誌や書籍で書くなどすると、
そこには責任が生じるから深く調べたり、何度も検証したり、めっちゃ理解が深まる!!!
まとめると
とにかくアウトプットしろ!!
とりあえず、ブログ書け!!!
○Webセキュリティ攻守攻防パネルディスカッション 「Webアプリケーション / Ajaxセキュリティ徹底バトル」
はまちちゃん!!!こんにちは!こんにちは!!
初めて生のはまちちゃん見た!!
このセッションは、参加するとウィルス感染の恐れがある危険なセッション!!!
はまちちゃんが、ウィルスバスターやノートンでは駆除できないウィルスを・・・
ウィルス名は、
インフルエンザウィルスwwww
パネルディスカッションのテーマは、
(1) XSSってなに?食べれるの?どう危ないの?
(2) えがちゃんもXSSを直さないといけないの?
(3) イントラだから関係ないよね?
(4) JSONによる秘密情報の漏洩
(5) オープンな脆弱性の指摘は犯罪なの?
(6) オープンソースWebアプリの脆弱性は?
(7) IPAさん曰く、たとえばPHPを避ける?
(8) ブラウザのバグと仕様の境界について
(9) UTF-7ご認識を利用したXRRってまだ有効?
(10) WAFってどうよ?
-------------この辺から追記-------------
(1) XSSってなに?食べれるの?どう危ないの?
つ XSSはそのサイトを信頼している人が多いほど脅威になりうる - ぼくはまちちゃん!(Hatena)
(2) えがちゃんもXSSを直さないといけないの?
えがちゃんを知らない人は、この辺みるといいよ!!!
これはえがい人の脆弱性
エガミくんの脆弱性のやつ
(3) イントラだから関係ないよね?
言い換えると、「社内でしか使わないシステムだと脆弱性あってもカンケーないよね?」ってこと
でも、会社で何か攻撃されたら、笑えない損害が発生しちゃう!!
「何で悪い大人の人はXSSの脆弱性を突いてきて悪い事をするんですかー??」とか言ってる場合じゃないよ!!攻撃する人は、盗んだ内部資料とかを売ればお金になるもんね!!
(4) JSONによる秘密情報の漏洩
メールのタイトルとかに、JavaScriptを書いておいて、
Gmailで、<script src="JSONへのURL">とかがあると、文字列のはずのJavaScriptが実行されちゃうとかそんな感じ。(メモがちょっとしか残ってない><)
Googleは、ここで返すメール情報のJSONの先頭にwhile(1)をつけて"javascriptとして"読み込まれても大丈夫なようにしてるけど、根本的に脆弱性を修正してる訳じゃないから、
「Googleがやってるからこのやり方が正しい」とかそういうのはダメ!!!!!
(5) オープンな脆弱性の指摘は犯罪なの?
例えば、SNSサイトに脆弱性が見つかって、
強制的に「こんにちは!こんにちは!!」って日記を書かかせたとしても、それは犯罪なの??
そういう時の為にIPAが間に入って報告するようになってるんだって!!
ただ、IPAに脆弱性を報告する時はちゃんと本名で報告してね!!
はじめてのほうこく - ぼくはまちちゃん!(Hatena)
IPAたんからの返事 - ぼくはまちちゃん!(Hatena)
IPAたんからへんじこない - ぼくはまちちゃん!(Hatena)
IPAたんからお礼が! - ぼくはまちちゃん!(Hatena)
(6) オープンソースWebアプリの脆弱性は?
「オープンソースだと多くの人がレビューしているから、その分脆弱性も修正されていて安全」とか言われちゃってるけど、全部のオープンソースがそういう風に修正されてるわけじゃない!!
だから、オープンソースだから大丈夫なんてのは幻想だよ!!
(7) IPAさん曰く、例えば、PHPを避ける?
IPAのサイトのより良いWebアプリケーション設計のヒントに、
「例えば、PHPを避ける」とかかかれちゃってるけど、PHPは辞めた方がいいの??
でもね、でもね!!
site:ipa.go.jp filetype:phpで検索すると47,300件もHITするんだよ!!!
自分だってつかってるじゃん!!
でも、phpは、マルチバイトにちゃんと対応してなかったり、言語仕様のドキュメントがちゃんと整備されてなかったり、実行環境のサポートのライフサイクルが短いから、そういうのはあんまよくないみたいだよ??
(8) ブラウザのバグと仕様の境界について
ブラウザ作ってるとこに、「こういう脆弱性あるよ!!」って言っても、「それは仕様です。」とか返されちゃって、
いんたーねっと えくすなんちゃらってアプリの脆弱性がなかなか改善されなかったんだ!!
でも、id:hasegawayosukeさんが頑張って言い続けたら、次に出るIE8からはだいぶ改善されてるらしいよ!!
んで、そういうの見つけたら、公式サイト(?)のお問い合わせとかちゃんとした窓口から送ると
対応してくれやすいんだって。中の人も、そういうので報告があったら無視は出来ないから
(9) UTF-7ご認識を利用したXRRってまだ有効?
ふつー、ASCII文字は8bitなんだけど、7bitずつで区切ってみると、
攻撃コードになるようなのを仕込んで、charsetをutf-7にすると発動するっていう攻撃があるんだけど、それってどうなの??ってお話
攻撃としては、まだ成り立つんだけど、
なんか、日本のはLACっていう宇宙戦艦ヤマトみたいな"地球防衛軍"が監視してるから、
すぐばれるらしいよwwww
(10) WAFってどうよ?
WAFっていうのを使うと、そういう脆弱性をあるていど防いでくれるんだって!!
ごめんもう疲れた。
明日とかにこっそり追記しますwww
頑張って書き足したよ!!
○とったセッション
・Programming the Cloud / クラウドをプログラミングする
・「Delphi for PHPのエバンジェリストが、日本のPHPエバンジェリストと、PHPとIDEの今と未来を語る」
・RIA開発をとりまく技術の進化と環境の変化
・Java VM への処方箋 〜先進のメモリ管理技術とは〜
・アーキテクトって何ですか? 〜普段の仕事と、マイクロソフト認定アーキテクト取得で学んだこと〜
・ひよこクラブ ver.Engineer
・Webセキュリティ攻守攻防パネルディスカッション 「Webアプリケーション / Ajaxセキュリティ徹底バトル」
○Programming the Cloud / クラウドをプログラミングする
行ってから気づいた!!Googleの中の人のセッションだった!!!
英語なので通訳さんがいるんだけど、AdobeMAXのような"同時"通訳じゃなくて、
Speakerが英語でしゃべって、それを通訳さんが日本語でしゃべって、って感じだから、
Listeningの勉強にもなる!!!
んで、肝心の内容は、
・クラウドのACIDについて
原子性(Atomicity)、一貫性(Consistency)、独立性(Isolation)、永続性(Durability)ではなく、
Associative, 可換性(Commutative), 等冪性(Idempotent), Distributedって意味のACID
Associative -> (A+B)+C と A+(B+C) は同じ結果になる
Commutative -> A+B と B+A は同じ結果になる
Idempotent -> 2回やれば2回とも同じ結果になる
・GFS(Google File System)による障害対策
Googleほど大規模になると、HDDも何万台ってあるから、障害は必ず起こるって考えて、
障害にも対応したファイルシステムを独自に構築しなきゃみたいなことを言ってたような・・・
・Map Reduce
よくわかんないけど、クラウドでプログラムを書く時にインターフェース?かな
スライドに載ってたサンプルが↓
map(in_key, line) :mapが、検索エンジンがhtmlにどの単語がいくつ含まれているか解析する時に、
words = split(line):
for each word in words:
Output(word, 1)
reduce(key, values):
print(key + ":" + sum(values))
1行ずつ順番に解析するんじゃなくて、複数のマシンで並列的に処理する関数で、
なんか単語を登録して数を1にしてる
reduceが、いろんなとこから解析されたデータを合計する関数?
よくわからんから次www
その他、ノートにメモってあるキーワード
Hadoop, Sawzall
○「Delphi for PHPのエバンジェリストが、日本のPHPエバンジェリストと、PHPとIDEの今と未来を語る」
ペチパーでもないし、Delphiとか先輩の課題を代わりにやったときにちょっとやったかなって感じだけど、IDEを作る人の話ってことでとってみた。
Delphi for PHPは、FlexBuilderのデザインモードみたいな感じで、コンポーネントをぺたぺた貼っていくことによって、Viewを作って、そいつらのイベントをすぐにphpで書けるようにする機能をもったIDEらしい。
html+javascriptでコンポーネントを作って、それをカプセル化する。
そしてそういうコンポーネントをたくさん用意して配置するだけって発想はいい感じ。
でも、Flexフレームワークって実はそれなんよね・・・
FlexBuilder, FlashCatalystと比較しながら聞いてたら、なんか残念な気持ちになった。
Delphi for PHPの課題をちょっと考えてみたんだけど、
・チームで制作する際に、マージがうまく出来ないといけない
-> FlexBuilderだとEclipseで既に出来てるし、mxmlはxmlだから問題なし
・デザイナーが簡単にこったものを作れる。
-> FlashCatalystが神。イラレ&フォトショからViewに変換出来て、さらにStateとかEffectとかもFlashIDEっぽく作れるし、右クリック->テキストインプットとかで選んだものがテキストインプットになったりする。
・コンポーネントの拡張性。カプセル化されたコンポーネントを独自に増やしたり、拡張したり
-> UIComponentを継承すれば、全く新しいコンポーネントを作ることが出来るし、既存のコンポーネントも継承して関数をオーバーライドできる。
・IDEの拡張性
-> FlexBuilderもFlashCatalystもEclipseベースなのでプラグインを後から追加出来る
こう思うと、Flexスゲー!!!!!FlexBuilderスゲー!!!FlashCatalystスゲー!!!
そして、このDelphi for PHPは、FlexやSilverLightと同じ道を歩んでいくんじゃないかな??
IDEとしての完成度は、これら2社のものに比べるとまだまだかもしれないけど、
そもそも言語が違うから、まぁありなんじゃね?
○RIA開発をとりまく技術の進化と環境の変化
お昼ご飯食べた後で眠くてあんま覚えてない><
てか、こういうイベントとかでFlexとかのセッションを取るのはやめよう。
すでに聞いたことある話が多い・・・
○Java VM への処方箋 〜先進のメモリ管理技術とは〜
ガーベッジコレクションの話だったんだけど、メモリを意識したプログラミング手法みたいなのとは全然違った。
大規模案件になるとVMって自分で作るのかな??
HITACHIが改良したGCの仕組みについて説明してた。内容的には、ゼンゼンいいんだけど、
その製品、オレ使わないしwww独自に実装とかもやらないしwww
でっていうって感じ
○アーキテクトって何ですか? 〜普段の仕事と、マイクロソフト認定アーキテクト取得で学んだこと〜
結論、
アーキテクトって役職は会社によってあったりなかったりだし、あっても、会社によって全然違う!!
○ひよこクラブ ver.Engineer
プログラマーの勉強について
・ver.Java(Yoshioriさん)
Yoshioriさん!!この人すごい人!!!ブログで彼女を募集しちゃうすごい人!!!
みんなブログで、Yoshioriの彼女になりたい!って書くといいよ!!!
真っ赤な髪だから桜木花道みたいなイメージだったけど、ゼンゼン違った!!!
内容は、
Output < Input
OutputよりInputをしなさいって意味じゃなくて、Outputをすると以上にInputが得られるよ!!!ってこと
□ブログに書く
間違えても誰かが指摘してくれるし、間違えることよりも間違えて覚えている方が恥ずかしい!!
コメントとかフィードバックもらえると嬉しい
ブログに書いておくと、後で忘れてもググれる!!外部記憶装置最高!!!
□人に聞く
聞いた方が早いじゃん!!
聞く時も1人に聞くよりも複数人に聞いた方が、いろんな見方があるってわかる!!
みんな優しいから、意外と「ググれカス!」なんて言われないよ!!
□コードを書く
サンプルとかで勉強する時も、コピペじゃなくて、自分で打つ!!
ある言語で書かれたものを他の言語に移植とかすると結構勉強になる!!
□コードを読む
他人のコードを読む!!
GoogleCodeSearchとかCodeReposとかどう書く.orgとか
□RSSで読む
ブログを読む!!
はてなアイデアの新着RSSとか、ユーザが求めているものが分かるから、はてなだけに使わせるのはもったいない!!
はてなキーワードで、例えばJavaとかでアンテナはっておく!!
・ver.JavaScript(堀さん)
Yahoo!の中の人!!
・情報収集
□Webサイト
はてぶ、deliciausのタグで絞り込んで新着フィードを読む!!
JavaScriptは人のサイトで、「ソースを見る」とコードが見れる!!
言語の仕様書を読む!!
□ブログ
id:amachangやid:javascripterやJohnResig(JQueryの作者)のブログとか!!
□勉強会
Shibuya.JS、若手IT勉強会、Kanasan.JS
・実践
□サンプル見て自分でも書く
□トライ&エラー
□アウトプット
・ver.PHP(市井さん)
Greeの中の人!!
1. 形から入る。とりあえず、elePHPantぬいぐるみ買っとくwww
2. 身時かな存在に
3. 慣れてきて
4. マニアックな方向に
「これ(例えば特定のフレームワーク)には詳しい」ってのをとりあえず1個つくる!!
ひとつでも強いものが出来れば自信がつく!!
phshっていうのがちょっとしたコードを検証するのに便利!!
Javaでいう、Dr.Javaみたいなの!!
#ASってこういうのないのかな??
・ver.Perl(谷口さん)
ライブドアの中の人
自己紹介が、
「嫌いなものは、チョコレート」
「なので・・・」
「いりません!!」
ここから内容w
ブログに書くってのは、みんなと一緒で、
カンファレンスや勉強会でしゃべる、雑誌や書籍で書くなどすると、
そこには責任が生じるから深く調べたり、何度も検証したり、めっちゃ理解が深まる!!!
まとめると
とにかくアウトプットしろ!!
とりあえず、ブログ書け!!!
○Webセキュリティ攻守攻防パネルディスカッション 「Webアプリケーション / Ajaxセキュリティ徹底バトル」
はまちちゃん!!!こんにちは!こんにちは!!
初めて生のはまちちゃん見た!!
このセッションは、参加するとウィルス感染の恐れがある危険なセッション!!!
はまちちゃんが、ウィルスバスターやノートンでは駆除できないウィルスを・・・
ウィルス名は、
インフルエンザウィルスwwww
パネルディスカッションのテーマは、
(1) XSSってなに?食べれるの?どう危ないの?
(2) えがちゃんもXSSを直さないといけないの?
(3) イントラだから関係ないよね?
(4) JSONによる秘密情報の漏洩
(5) オープンな脆弱性の指摘は犯罪なの?
(6) オープンソースWebアプリの脆弱性は?
(7) IPAさん曰く、たとえばPHPを避ける?
(8) ブラウザのバグと仕様の境界について
(9) UTF-7ご認識を利用したXRRってまだ有効?
(10) WAFってどうよ?
-------------この辺から追記-------------
(1) XSSってなに?食べれるの?どう危ないの?
つ XSSはそのサイトを信頼している人が多いほど脅威になりうる - ぼくはまちちゃん!(Hatena)
(2) えがちゃんもXSSを直さないといけないの?
えがちゃんを知らない人は、この辺みるといいよ!!!
これはえがい人の脆弱性
エガミくんの脆弱性のやつ
(3) イントラだから関係ないよね?
言い換えると、「社内でしか使わないシステムだと脆弱性あってもカンケーないよね?」ってこと
でも、会社で何か攻撃されたら、笑えない損害が発生しちゃう!!
「何で悪い大人の人はXSSの脆弱性を突いてきて悪い事をするんですかー??」とか言ってる場合じゃないよ!!攻撃する人は、盗んだ内部資料とかを売ればお金になるもんね!!
(4) JSONによる秘密情報の漏洩
メールのタイトルとかに、JavaScriptを書いておいて、
Gmailで、<script src="JSONへのURL">とかがあると、文字列のはずのJavaScriptが実行されちゃうとかそんな感じ。(メモがちょっとしか残ってない><)
Googleは、ここで返すメール情報のJSONの先頭にwhile(1)をつけて"javascriptとして"読み込まれても大丈夫なようにしてるけど、根本的に脆弱性を修正してる訳じゃないから、
「Googleがやってるからこのやり方が正しい」とかそういうのはダメ!!!!!
(5) オープンな脆弱性の指摘は犯罪なの?
例えば、SNSサイトに脆弱性が見つかって、
強制的に「こんにちは!こんにちは!!」って日記を書かかせたとしても、それは犯罪なの??
そういう時の為にIPAが間に入って報告するようになってるんだって!!
ただ、IPAに脆弱性を報告する時はちゃんと本名で報告してね!!
はじめてのほうこく - ぼくはまちちゃん!(Hatena)
IPAたんからの返事 - ぼくはまちちゃん!(Hatena)
IPAたんからへんじこない - ぼくはまちちゃん!(Hatena)
IPAたんからお礼が! - ぼくはまちちゃん!(Hatena)
(6) オープンソースWebアプリの脆弱性は?
「オープンソースだと多くの人がレビューしているから、その分脆弱性も修正されていて安全」とか言われちゃってるけど、全部のオープンソースがそういう風に修正されてるわけじゃない!!
だから、オープンソースだから大丈夫なんてのは幻想だよ!!
(7) IPAさん曰く、例えば、PHPを避ける?
IPAのサイトのより良いWebアプリケーション設計のヒントに、
「例えば、PHPを避ける」とかかかれちゃってるけど、PHPは辞めた方がいいの??
でもね、でもね!!
site:ipa.go.jp filetype:phpで検索すると47,300件もHITするんだよ!!!
自分だってつかってるじゃん!!
でも、phpは、マルチバイトにちゃんと対応してなかったり、言語仕様のドキュメントがちゃんと整備されてなかったり、実行環境のサポートのライフサイクルが短いから、そういうのはあんまよくないみたいだよ??
(8) ブラウザのバグと仕様の境界について
ブラウザ作ってるとこに、「こういう脆弱性あるよ!!」って言っても、「それは仕様です。」とか返されちゃって、
いんたーねっと えくすなんちゃらってアプリの脆弱性がなかなか改善されなかったんだ!!
でも、id:hasegawayosukeさんが頑張って言い続けたら、次に出るIE8からはだいぶ改善されてるらしいよ!!
んで、そういうの見つけたら、公式サイト(?)のお問い合わせとかちゃんとした窓口から送ると
対応してくれやすいんだって。中の人も、そういうので報告があったら無視は出来ないから
(9) UTF-7ご認識を利用したXRRってまだ有効?
ふつー、ASCII文字は8bitなんだけど、7bitずつで区切ってみると、
攻撃コードになるようなのを仕込んで、charsetをutf-7にすると発動するっていう攻撃があるんだけど、それってどうなの??ってお話
攻撃としては、まだ成り立つんだけど、
なんか、日本のはLACっていう宇宙戦艦ヤマトみたいな"地球防衛軍"が監視してるから、
すぐばれるらしいよwwww
(10) WAFってどうよ?
WAFっていうのを使うと、そういう脆弱性をあるていど防いでくれるんだって!!
明日とかにこっそり追記しますwww
頑張って書き足したよ!!
コメントする