タグ subtech
人気順 5 users 10 users 50 users 500 users 1000 usersはてなグループ終了に寄せて - #生存戦略 、それは - subtech
2019/07/04
238 users
生存戦略
はてなグループ終了
「セカンドライフ、はてなグループのディレクターやらへん?」 2006年、鉢山オフィスの会議室に呼び出された。当時のはてなでは、基本パブリックスペースでの会議が主だったので、何なんだろうと思った。会議室では、jkondo と naoya んが居て、上記のようなことを言われた。曰く、はてなグループはとても価値があるサー... 続きを読む
WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか - 金利0無利息キャッシング – キャッシングできます - subtech
2018/01/03
101 users
XSS
XSS脆弱性
利息キャッシング
金利
ブラウザ
WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか 18:28 | XSS脆弱性 があった場合にそのサービスで使っている パスワード を盗むことが可能かどうかについて書く。 XSS を通して パスワード を盗むことができるのか? 「現在の パスワード を表示する機能」があるなら出来る(そういう機能があるサービスはおかしい) メールアドレス... 続きを読む
OAuth2.0で強制連携させるCSRFの影響と、その対策について - 金利0無利息キャッシング – キャッシングできます - subtech
2014/07/24
146 users
CSRF
周知
利息キャッシング
co.jp
金利
OAuth2.0で強制連携させるCSRFについて、いまいち周知が十分でない気がするので解説します。簡単に言うと、複数のid providerによるログインをサポートしているのであれば「CSRFによる外部アカウント強制連携」は、アカウントハイジャックが可能な脆弱性だと考えなくてはいけない、ということです。 このへんの話 http://alpha.mixi.co.jp/2013/12020/ http... 続きを読む
iOSにバックドアがあるとされた問題について - 金利0無利息キャッシング – キャッシングできます - subtech
2014/07/24
263 users
iOS
利息キャッシング
金利
バックドア
問題
なんか話題になっている http://www.zdziarski.com/blog/?p=3441 について。このスライドは、この筆者のブログ記事で書かれてることのまとめなので、それぞれ詳細に書かれた記事を読めばいい。 具体的には http://www.zdziarski.com/blog/?p=2571 http://www.zdziarski.com/blog/?p=2589 が分かりやすかっ... 続きを読む
パスワード保存と自動フィルインは違うという話 - 金利0無利息キャッシング – キャッシングできます - subtech
2014/07/08
137 users
autocomplete
password
OFF
金利
全て
何か input type="password"のautocomplete="off"をメジャーなブラウザが全て無視するようになったという話があるのですが http://www.slideshare.net/hebikuzure/autocomplete-off 実のところブラウザごとに細かい挙動が違います http://gyazo.com/e06c6d63521249f7a99a2a7c075c... 続きを読む
AndroidのWebViewの脆弱性についての私的なまとめ - 金利0無利息キャッシング – キャッシングできます - subtech
2014/01/10
364 users
WebView
利息キャッシング
Android
脆弱性
http://jvn.jp/jp/JVN53768697/ についての私的なまとめです。業務時間中に調べた内容も含まれていますが、この記事はmala個人の文責で書かれています(所属している組織の見解ではありませんし、所属している組織やそのグループ会社からリリースしているアプリが必ずしもこの記事で書かれているような対策が取られているとは限りません) 書きかけの部分があるので、あとで追記します。 An... 続きを読む
IISのステータスコードは小数点つきという話 - ういはるかぜの化学 - subtech
2013/11/19
112 users
ステータスコード
IIS
http
小数点
化学
IISのステータスコードには小数点があるという話が話題になっていました。IIS 7.0、IIS 7.5、および IIS 8.0 の HTTP 状態コードというKBが元で広がってるのですけど、まあこれはKBの書き方が悪くて誤解されている感じです。 IISはHTTPのステータスコードに加え診断用にサブステータスコードというのを内部的に持っています。たとえば「403だけどなんで403なの?(IP拒否?デ... 続きを読む
テンプレートエンジンでJavaScriptを動的生成する際のアンチパターン - 金利0無利息キャッシング – キャッシングできます - subtech
2013/11/08
309 users
JSON
script
Key
テンプレートエンジン
HTML
素のJSONをscriptタグ内に埋め込む 任意の文字列を突っ込める場合には {"key": "</script>"} でscriptタグを強制終了できてしまうからです。 JSONとしては正しいですがHTMLに埋め込む際には、それだけではダメなのです。文字列中に U+2028, U+2029が出現する場合もエラーになります。 http://timelessrepo.com/json-isnt-a-... 続きを読む
Firefoxにマスターパスワードを設定しているユーザーが画面ロック掛けない状態で離席するとどうなるかについて - 金利0無利息キャッシング – キャッシングできます - subtech
2013/08/13
100 users
Firefox
利息キャッシング
金利
離席
画面ロック
Webサイト一個一個訪問して自動フィルインから拾ってくるというのもできるし、重要なサービスのパスワード(メールとか)一個取れれば大体十分なんじゃねーのという気もしないでもないんだけど マスターパスワード入力後のケース 以下のようにしてパスワードを表示することが出来る 1. chrome://passwordmgr/content/passwordManager.xul を開く 2. Web開発者ツ... 続きを読む
Internet Explorer 11の新機能とか - ういはるかぜの化学 - subtech
2013/06/25
115 users
WebGL
SPDY
WIn
API
化学
Windows Server 2012 R2 Previewがリリースされたので、Windows 8.1に先駆けてInternet Explorer 11を触れたので気になったところをまとめておきます。 WebGLとSPDY/3対応 複数ウィンドウ対応 窓(デスクトップのではなく)を複数並べられます。 いくつかのAPIの追加 WebGL window.ondeviceorientation/win... 続きを読む
GitHub Enterprise TechTalk に見る、各社の運用法 - #生存戦略 、それは - subtech
2013/01/24
174 users
生存戦略
各社
運用法
弊社もバリバリ GHE を使ってるので落ちると開発が回らなくなる(pull request できないのは、master に merge できないのとほぼ等価)ので、他社どうやってるのかーと大変気になってたのでしれて良かった。 間違ってたら教えてくだしぃ クックパッド 開発者は GHE へ push, webhook でメインの git サーバに同期 GHE の git レポジトリは本番からは利用し... 続きを読む
Big Sky :: 意外と知られていない github 技
2012/12/25
132 users
GitHub
plain
PU
diff
text
github で git diff from..to を表示する - #生存戦略 、それは - subtech で text/plain な diff が表示される。.. じゃなくて ... 。 http://subtech.g.hatena.ne.jp/secondlife/20121225/1356421602 github のコミットページ URL は、実は凄く良く出来ている。 例えば pu... 続きを読む
git-new-workdir が便利 - #生存戦略 、それは - subtech
2012/12/07
285 users
contrib
Clone
usr
local
生存戦略
作業中、別のベクトルの作業するからブランチ切り替えじゃ無くてもういっこワーキングディレクトリを作って作業したい!って思った経験ありませんか?みなさん n 回ぐらいあるんじゃないでしょか。 そんなときいちいち clone して…などしなくても git-new-workdir コマンドを使えば一発!git-core の contrib に入ってます。 ln -s /usr/local/share/gi... 続きを読む
Google Spread Sheet のクソ複雑で使う気がなくなるAPIを、さくっと使えるJSONP APIに変身させるたった1つの方法 - 冬通りに消え行く制服ガールは✖夢物語にリアルを求めない。 - subtech
2012/12/06
170 users
OAuth
XML
スコープ
API
制服ガール
Google Spread Sheet の API は OAuth と XML を使ってシートを変更するものなのですが、これが非常に使いづらい。OAuth はいいとして、XML 作ったりするのがつらい。そのうえ JavaScript だけで完結させるのが、クロスドメインXHR が必要になるので難しい。あと XML 作ったりするのがつらい。OAuth のスコープもスプレッドシート全体への変更を許して... 続きを読む
Ruby を 1.9.3 p327 から 2.0.0 dev に上げたら rails の起動時間が2.5倍速、rake spec の速度が1.8倍速になった - #生存戦略 、それは - subtech
2012/11/22
115 users
Rails
dev
Ruby
生存戦略
速度
流しのフェローが Ruby 2.0.0 速いって言ってたので、いやいや速いっていっても〜、と思って社内の ruby 1.9.3 な Rails プロジェクトで 2.0.0dev 使ってみたら 1.9.3 [5]>_<X time bx rails runner 'puts Rails' Rails bundle exec rails runner 'puts Rails' 6.24s user 1... 続きを読む
Google Apps Script はマジですごい。自分でサーバーを持たず、定期的に Gmail のメールを集計することができる - 冬通りに消え行く制服ガールは✖夢物語にリアルを求めない。 - subtech
2012/11/16
968 users
スクリプトエディタ
Gmail
Run
サーバー
制服ガール
最近知ったがGoogle Apps Scriptはだいぶいろいろなことができてすごい。 ので、とりあえず楽天カード (今話題) の売上情報メールを集計して家計簿に記録していくみたいなスクリプトを書いてみた。 Google SpreadSheet を開き、ツール → スクリプトエディタ で開かれるエディタに以下をコピペして、run 関数を実行すると、Gmail のメール直近1ヶ月のうち、楽天カードの... 続きを読む
リファラとCSRF対策の話 - 金利0無利息キャッシング – キャッシングできます - subtech
2012/10/18
241 users
リファラ
CSRF対策
data URI
利息キャッシング
リファラを使ったCSRF対策では多くの場合、想定していない、外部サイトのリファラが付いていたらエラーにする、ということが行われます。 一方で、ブラウザ側の設定に関わらず、リファラはいくつかの方法で消せます。 data uriからの送信 https から http への送信 meta referrerタグで送信しない指定をする(対応ブラウザのみ) 参考: http://wiki.whatwg.org... 続きを読む
みんなで一緒にウェブ上の音楽を聞ける polka というウェブアプリケーションを作りました - NaN days - subtech
2012/10/16
195 users
ウェブアプリケーション
polka
キュー
音声
要求
昔 Teto というのを作って、これはニコニコ動画の音声をストリーミングして配信する、というようなことをしていたのですが、いかんせん仕組みが複雑で簡単に使える感じじゃないな〜という問題があり、また、オフィスのみんなでひとつのキューを共有しつつ同時に同じ音楽を聞けたらいいな、という要求を、音声の読み込みや再生処理をすべてクライアントサイドで行うことにして実装したのが polka です。 これからは ... 続きを読む
サーバサイドからのデータの受け渡しに data-* を使う - 冬通りに消え行く制服ガールは✖夢物語にリアルを求めない。 - subtech
2012/10/11
342 users
サーバサイド
XSS
Data
クライアントサイド
Name
(大した話ではないですが、だいぶ前にどっかで話して以来ブログに書いてなかったようです) サーバサイドのプログラムから、クライアントサイドの JavaScript に何かしらのデータを受け渡しする場合というは、XSS を作りやすい部分であります。 <script> var User = { id : [% user.id | js %], name : "[% user.name | js %]" ... 続きを読む
Git リポジトリの Web サイト (GitHub とか) を簡単に開けるコマンドを作った - NaN days - subtech
2012/09/17
121 users
GitHub
サブコマンド
コマンド
RubyGems
web
git-browse-remote というコマンドです。 インストール 今回はじめて RubyGems としてシェアさせていただきましたので gem install git-browse-remote でインストールできます。git browse-remote というサブコマンドが使えるようになります。 できること 現在のリポジトリをホストしている Web サイトをブラウザで開きます 正確には g... 続きを読む
GoogleのSparrow買収に寄せて - 金利0無利息キャッシング – キャッシングできます - subtech
2012/07/21
123 users
利息キャッシング
金利
Google
SparrowにはHTMLメール経由での情報漏洩を引き起こす脆弱性があります。 攻撃コードと影響範囲について あとで書く 経緯 この問題は2012年7月9日に伝えています。参考 https://twitter.com/domleca/status/222354049863925760 7月21日時点で 問題がないのは、Sparrow公式サイトで配布されているものです AppStoreで配布されてい... 続きを読む
JavaScriptでdocument.cookieへのアクセスを禁止する - 金利0無利息キャッシング – キャッシングできます - subtech
2012/07/09
246 users
document
cookie
function
false
JavaScriptからdocument.cookieへのアクセスを禁止するという手法が知られていて Object.defineProperty(document, 'cookie', { get: function(){return false}, set: function(){return false}, configurable:false }); XSS界で有名なMarioさんのスライド... 続きを読む
サーバーにパスワードを送らないフォームを作る - 金利0無利息キャッシング – キャッシングできます - subtech
2012/07/03
197 users
Form
return false
実装
エラー
金利
まあ伝統的にはこういうの書いてやればいいわけなんだけど <form onsubmit="return false"> ... </form> これだとJavaScript無効の時には普通にフォームが送信されてしまう。 ジョークサイトとかパスワード強度チェッカーの類でパスワード入力させるサイトが、JavaScript無効だったり、エラーが起きると入力したパスワードが送られてしまうという実装になってる... 続きを読む
jQueryのXSS引き起こしやすい問題に対する動的パッチ - 金利0無利息キャッシング – キャッシングできます - subtech
2012/04/26
144 users
jQuery
XSS
mala
利息キャッシング
金利
この問題 http://subtech.g.hatena.ne.jp/mala/20110624/1308881526 このパターンのXSSは未だに非常に多く見かける。jQueryを最新版にすれば、#が含まれるパターンは防げるのだけど、$("a[rel=" + user_input_string +"]")といったケースが防げない。1/3ぐらいはアップデートしても問題があるという印象。 というわけ... 続きを読む
Shibuya.XSSで発表してきました - 金利0無利息キャッシング – キャッシングできます - subtech
2012/04/05
216 users
Shibuya.xss
利息キャッシング
金利
http://atnd.org/events/25689 以下資料、適当に口頭で補足しながらしゃべりました。オフレコ部分は抜いてあります + 参考URL等を少し足しました。 ---- DOM Based XSSの傾向と対策 DOM Based XSS 基礎的な説明は省略 機械的なスキャンで見つからない 人間が読んでも見つけにくい ログに残らないことがある location.hash経由で発火が多い... 続きを読む