水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2009年のえび日記 > 2009年3月

2009年3月

2009年3月31日(火曜日)

扉は閉ざされたまま

更新: 2009年4月2日0時30分頃

読み終わったので。

倒叙もの。誰が犯人なのか、どうやったのかは分かっていて……最大の問題は、なぜ犯人は時間稼ぎをしようとしているのか。

しかし、解説にもありますが、その動機がちょっと理解しがたい感じではあります。

扉は閉ざされたまま (祥伝社文庫)

関連する話題: / 買い物

2009年3月30日(月曜日)

はてなのexpressionのXSSが修正された

更新: 2009年3月31日10時25分頃

はてなブックマークのスタイルシートに

*{color:expression(alert(document.cookie))}

と書くと、「危険な文字」とみなされた "expression" と "cookie" がサニタイズされて以下のようになります。

*{color:(alert(document.))}

この手のサニタイズでありがちな罠として、削除対象の文字列を一度しか走査しないで済ませてしまっている場合があります。たとえば、以下のように書いたとき、

*{color:eexpressionxpression(alert(document.ccookieookie))}

削除のための走査を一度だけで済ませていると、expression と cookie が一度ずつ取り除かれて以下のようになります。

*{color:expression(alert(document.cookie))}

というわけで、こんな感じで貫通してしまう場合があるのです。実際、はてなでは今日の20時頃まではこのパターンで貫通していましたが、現在では修正済みです。

※全角の「expression」が貫通していた件も一緒に修正されたようです。

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性

2009年3月25日(水曜日)

てるてるあした

公開: 2009年3月28日13時20分頃

読み終わったのでメモ。

ささら さや (www.amazon.co.jp)の続編的な話。久代ばあさん大活躍。

幽霊の正体は意外だったなー。

※なにげに解説が成井豊 (engekilife.com)だった。

関連する話題: / 買い物

とらドラ! アニメ終わった

公開: 2009年3月28日13時20分頃

ラストは原作とだいぶ違いますね。割としっくり来る展開だったとは思いますが。

※しかし大河の携帯のカメラは高性能だなー。星をカメラで撮るのは難易度高いですよ。

関連する話題: とらドラ! / アニメ

2009年3月24日(火曜日)

2008年10大脅威

更新: 2009年6月1日17時0分頃

「10大脅威 攻撃手法の『多様化』が進む」を公開 (www.ipa.go.jp)」ということで公開されたようです。みなさんおつかれさまでした。

※26ページ辺りに名前出させていただいております。

ちなみに今年からちょっとフォーマットが変わっていて、「組織への脅威」「利用者への脅威」「システム管理者・開発者への脅威」が別々に掲載されるようになりました。

情報セキュリティ白書2009自体はもう少し先になるようです。

※2009-06-01追記: 出ました……情報セキュリティ白書2009

関連する話題: セキュリティ / IPA

論理少女2

公開: 2017年9月26日14時50分頃

2巻出ましたね。

以下、メモですがネタバレ注意。

津隠レース

スタート直後に大勢が走り出していつきが踏まれますが、このゲーム、早くゴールした方が良いというものではないので、急ぐ必要は全くないのですよね。むしろ、他人の後から行って他人の得点を確認した方が有利です。走る必要はないのですが、レースと言われると急ぎたくなってしまうというトラップ(なのか?)。

しかし、若野がいつきに協力しない理由が分かりません。ゼロサムゲームではありませんし、赤点をリカバーする目的であれば協調した方が明らかに有利なのですが。

あと、ゼッケンの交換・破棄の条件が明確になっていないのが気になりますね……。当初の説明では、ゼッケン交換には津隠問答が必要で、しかも負けた側に必ず×が付けられるという風に思えますが、後で明らかに勝負しないで(×をつけないで)ゼッケンを交換しています。それが許されるのか許されないのかで、かなり戦略が変わってくると思うわけで。

※まあ、先生が見てないところで交換すればバレやしないという判断なのかもしれませんが。

それから、特定ゼッケンの人をファミレスに缶詰にする作戦ですが、リスクが大きすぎると思います。情報が漏れれば、いつきがそのファミレスに乗り込んできて津隠問答でゼッケンをもぎ取っていく可能性が高いでしょう。「居場所を人に話してはいけない」とは一言も言われていないので、井波さんが電話して「何処にいるの?」と聞くだけで終了します。

ですので、単に全員のゼッケンを回収してしまった方が良かったのではないかと思います。ゼッケンがないと棄権とみなされるのかもしれませんが、レース終了直前にゴール地点で返す約束にすれば良いでしょう。ゴール地点からチェックポイントまでは距離があるので、ゴール直前にゼッケンを奪われてもポイントされません。

カメダイブゲーム

濡れたものにはガムはくっつかないと思いますが、亀は既に十分に甲羅干ししていたのでしょうね。

指定かくれんぼ

指定かくれんぼは棟方先輩が考えたものだそうで。でもアレ、「いつきは裏文化祭に乗り込む際、赤外線スコープを持ってくる」という前提を織り込んだパズルなので、裏文化祭以外では使い道ないと思いますけどね。

アルファベット分類ゲーム

水じゃなくてビーズのようなものが溜まるかどうかだと言われていたら、いつきの負けなのではないかと。

メニュー当てゲーム

いやー、このやり方では駄目でしょう。特徴のないものを選ばせるのなら良いのですが、「アイス・かき氷・コーラから一つ」などと言われると、人は「じゃあコーラ」などと考えてしまいます。その後、マジシャンズ・セレクトでアイスを選ばせようとしても、「いや、私はコーラを選びたかったんですけど」と言われて終わってしまいます。

いつきもいつきです。この紙袋、どう見てもテイクアウト用に買ったものに見えます (実際、88ページでいつきがテイクアウトしている)。テイクアウト用にアイスやかき氷を買った場合、店内で食べる場合とは違う容器に入れて、氷やアイスが紙袋についたりしないようにするはずです。さらに、保冷剤も入れてくれている可能性が高いでしょう。

そうだとすると、ミルクやシロップがしみ出してくる可能性はほとんどないと思います。しみ出してくるのは、空気中の水分が凝結した水だけでしょう。

カーナンバーランダム乗算

二人ともすごいなぁ。

ちなみにこのゲーム、好きなナンバーを選べる上に、ナンバーを選ぶ時間にも制限がないので、ナンバーを選びながら事前に全桁を計算しておいた方が早いです。うまいナンバーを選べれば、素人でもあっさり計算できます。

試しに、浜松町駅から会社までの道のりでクルマのナンバーを観察してみました。見たのは数十台程度だと思いますが、「2000」「1001」「64」を見つけることができました。本当は「1」が見つけられたら最強だったのですけれど、「1001」と「64」の組み合わせでも十分でしょう。

※クルマのナンバーって希望して取れたりするので、きりの良い数字が意外に多いのですよね。「8888」なんてのが2台もありました。

1379集め

うーん、「持ち時間2分」というのは「2分以内」という意味であって、2分をフルに使わなければいけない訳ではないと思うのですよ。「持ち時間は2分フルに使わなければならず、その間、相手にターンを回せない」なんてルールだったらメチャクチャ不自然ですよね。最初からそんな不自然なルールだったらギャラリーもおかしいと思うでしょうし、何か説明があるはずでしょう。だから、棟方先輩がさっさと選んでターンを終わらせてしまえば、いつきのつくったサイクルはあっさりずれるはず。

また、時計がOKと判明した時点で、誰かがデジタル時計を持っていないか探すべきだと思いますね。秒を表示するデジタル時計を誰かが持っていたら、それだけで1~59が簡単に調達できます。いや、デジタル時計は最近あんまり見ないかな……。まあ、時計がOKなのですから、携帯電話でもOKでしょう。最近の携帯電話にはたいていカレンダーの機能がついていますから1~31は調達できますし、携帯電話は数字だらけですから他の数字も何とかなるのでは?

※あと、地味ですが、レース用のカードにゼッケン番号を書く欄があります。この場にそのゼッケンの人がいなくても、誰かのカードにゼッケン番号が書かれている可能性は残されています。

論理少女(2) (シリウスKC)

関連する話題: マンガ / 買い物 / 論理少女 / 論理

2009年3月22日(日曜日)

コンバイン

公開: 2017年9月26日21時40分頃

クイズで稲刈り機を「コンバイン」と答えさせる問題が出ていましたが、稲刈り機は「バインダー」で、稲刈り機に脱穀機能をプラスしたものが「コンバイン」だという話をどこかで聞いた気がします。そもそも、combineって組み合わせるという意味ですし。

……と思って調べたら、「バインダー」というのも刈取+結束の機械で、単なる刈取機は「リーパー」という模様。確かにbindは縛るという意味ですね。

つまり、combine < binder < reaper という継承の関係にあるということで。

関連する話題: 与太話

2009年3月20日(金曜日)

容疑者xの献身が舞台に

公開: 2017年9月26日13時35分頃

容疑者xの献身 (engekilife.com)……って舞台になるのですね。普段あんまり演劇は見ないのですが、原作 (www.amazon.co.jp)にはかなり衝撃を受けたので、これはちょっと見たいかも。

関連する話題: 容疑者xの献身

IE8正式版

公開: 2017年9月26日13時25分頃

Internet Explorer 8、正式版公開 (slashdot.jp)ということで入れてみました。

気のせいかも知れませんが、RCよりかなりレンダリングが速くなったような。

関連する話題: Internet Explorer

2009年3月19日(木曜日)

かけおち18歳

公開: 2017年9月26日16時50分頃

「とらドラ!」原作とアニメでは微妙に展開が違うのですね。アニメだと駆け落ちして18になったら結婚とはっきり言っていましたが、実は民法737条にはこういう規定があります。

第七百三十七条  未成年の子が婚姻をするには、父母の同意を得なければならない。

2  父母の一方が同意しないときは、他の一方の同意だけで足りる。父母の一方が知れないとき、死亡したとき、又はその意思を表示することができないときも、同様とする。

駆け落ち状態では、18歳になっても婚姻できません。事実婚で良ければ問題ありませんが、そうなのであれば18歳まで待つ必要もないわけです。

もっとも、竜児がこの条文を知っているとも思えませんし、行動に矛盾があるという訳でもないのですが。

関連する話題: とらドラ! / アニメ

秋期限定栗きんとん事件 下

公開: 2017年9月26日13時35分頃

読み終わったので。

一気に読みました。犯人とかおおむね予想どおりでしたが、面白かったです。

でも瓜野は許されなかったのね。これが小佐内さんの本気か……。

関連する話題: / 買い物

2009年3月18日(水曜日)

秋期限定栗きんとん事件 上

公開: 2009年3月19日0時10分頃

とりあえず上巻は読み終わったので。

別れた二人がどうなるのかと思ったら、「小鳩&小佐内」ではなくて「小鳩vs小佐内」風の展開なのですね。それはそれで面白い。ていうか小鳩、クラスメイトの名前覚えろよ! いくら何でもひどすぎます。

そして瓜野。小佐内さんになんてことを……。小佐内さんのナイスディフェンスで、たぶん瓜野自身が命拾いをしたはず。

ともあれ、このまま下巻を読みます。

関連する話題: / 買い物

「成立しない」の意味

公開: 2009年3月19日0時10分頃

XSS脆弱性の危険性に関連して、ockeghemのブックマーク - 2009年3月17日 (b.hatena.ne.jp)のブックマークコメントの意味が一瞬分からなかったので、反応してみたり。

最近頻発しているとLAC社が伝えるサイト改ざんによるマルウェア埋め込みはSQLインジェクションが直接原因だが、XSSもないと成立しない。参考 http://d.hatena.ne.jp/ockeghem/20080718/p1 http://itpro.nikkeibp.co.jp/article/COLUMN/20080624/309303/ 2009/03/17

最初「成立しない」という意味が分からなかったのですが、これはSQLインジェクションで「<script>……」とか「<iframe>……」とかいう文字列をひたすらDBにつっこんで、それがサイト上にそのまま表示されることを期待する攻撃ですね。この攻撃でDBに「<script>……」と入れられても、XSS脆弱性がないサイトであれば、それは「&lt;script&gt;……」と出力されるはずです。その場合スクリプトは動作しませんから、XSSがなければ、攻撃者の用意したスクリプトは実行されない、と言えます。

ただ、SQLインジェクションが成立した時点でDBのデータは壊されてしまいますので、明らかに被害は発生します。これを「攻撃が成立しない」と言ってしまって良いのか、やや微妙に思います。徳丸さんは「攻撃者の意図は完遂されない」という意味で「成立しない」と言われているのだと思いますので、それはそれで正しいと思いますが。

※ただ、可能性としては、「入力時に一律HTMLエンコードを行い、DBにはエンコード後の文字列を格納する」というポリシーで設計されている可能性もあって、その場合には、この攻撃は成立するけれどもXSS脆弱性があるとは言えない、ということもあり得ると思います。いや、もちろんそんな変な設計は推奨しませんけれども。

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性 / SQLインジェクション / 与太話

XSS脆弱性の危険性

公開: 2017年9月26日16時10分頃

世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? (www.atmarkit.co.jp)」。

脆弱性の脅威が過剰に評価されている傾向はあると思いますね。脆弱性検査の結果なんかで「500エラーが出ている」とか「HTTP応答ヘッダでサーバのバージョン情報が出ている」とかいったものが問題にされたりしますが、「それ対応する必要あるの?」と思います。検査している方としても、「念のため」レベルで報告しているのだろうと思いますが、受け取り側はそうは受け取らない場合もあるようで。まあ、報告の書き方の問題なのかも知れませんけれども。

緊急度をざっくりいくつかに分けて考えるとすると、だいたいこんな感じなのでしょうか。

SQLインジェクションで実際に攻撃が行われた場合や、サーバが不正アクセスされたような場合は「緊急」。SQLインジェクションが発見されたが攻撃はされていないと考えられるような場合は、緊急と言いたいところですが、実際は「重要」レベルの対応になるでしょう。XSSはたぶん「要対応」レベルですね。ただ、川口さんが元記事にも書かれているように、持続型XSSの場合は脅威の度合いは少し高いのではないかと思います (予告.inみたいなケースもあるので)。

ところで、通常のXSS脆弱性の特徴は、なんといっても「発見しやすい」という事だと思います。

脆弱性を見つける“だけ”なら技術力がなくてもある程度発見可能

というのはまったくその通りだと思いますが、通常、ウェブアプリケーションの開発には「テスト」という工程があるはずで、そのテストにおいてもXSS脆弱性は発見されやすいはずです。そして普通、XSSは単なる実装上のバグに過ぎず、簡単に修正できます。

※もっとも、「このXSSを修正するためには設計を見直す必要があるので今は修正できません」という主旨のことを言われた経験もありますが。

ですから、まともにテストをやっていれば、簡単なXSS脆弱性は残らないと思うわけです。XSSは、まともにテストをやっているかどうかという点を見るためのバロメータになると思います。というわけで個人的には、外注先を選定するような場合、XSS脆弱性があるかどうかという点は結構重視しています。

※判断基準にできるくらい見つかってしまうのもおかしいとは思うのですけれど。

……あと、たまに、IPAに届け出られたXSS脆弱性の件数を「被害件数」と思っている人がいて、「XSSの被害はたくさん発生している」と誤解されている場合もあったりしますね。

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性

2009年3月16日(月曜日)

faviconを南京錠にして安心感を演出

公開: 2017年9月26日16時0分頃

南京錠の画像でだます:新たな中間者攻撃にはEV SSLの活用を――ベリサイン (www.itmedia.co.jp)」。

って、どこかで聞いた話だなぁと思ったら、えむけいさんの投稿でしたね。

Firefox 3がロケーションバーの色替えや鍵アイコンをやめたのは、暗号化されているだけで「安心」感を与えすぎかねないことと、Faviconを鍵アイコンにするフィッシングサイトが登場したからだそうです(もちろん本物の鍵アイコンとは位置が違いますが、素人をだますには十分です)。

関連する話題: セキュリティ

phpbbのパスワード

公開: 2017年9月26日15時30分頃

phpbb.comから流出したパスワード、その傾向は? (slashdot.jp)

これはなかなか興味深いですね。ネタ元のPHPBB Password Analysis (www.darkreading.com)を見ると、

1 character 0.34%

2 characters 0.54%

3 characters 2.92%

4 characters 12.29%

5 characters 13.29%

6 characters 35.16%

7 characters 14.60%

8 characters 15.50%

9 characters 3.81%

10 characters 1.14%

11 characters 0.22%

なんとパスワードが1文字という人が0.34%いる!

多くの場合、パスワードの複雑性に関するポリシーというものがあって、あまりにも短いパスワードや単純なパスワードは設定させないようにするわけです。ポリシーは場合によって違いますが、厳しめな場合だと「長さ8文字以上」かつ「大文字、小文字、数字、記号のうち3種類以上を使う」かつ「アカウント名やメールアドレスと同一の文字列は不可」といった感じになっていることが多いでしょうか。

サービスの性質によってはもっとゆるくても良いと思いますが、それでも「6文字以上」とか、そのくらいのポリシーはあっても良さそうなものです。それが何も無いと、こんな酷いことになってしまうわけですね。

※実は「複雑性の要求って意味があるのか? 設定する人の自己責任で良いのではないか?」……などと考えていたりもしたのですが、これを見ると、やっぱり必要な感じがしますね。

関連する話題: セキュリティ

輸血拒否への対抗策

公開: 2017年9月26日15時10分頃

父母の1歳児治療拒否は『虐待』 半日で親権停止し救命 (www.tokyo-np.co.jp)」だそうで。

子どもの治療には通常、親の同意が必要で、主治医は緊急輸血が必要だと両親を再三説得したが「宗教上の理由」として拒否された。病院から通報を受けた児相は、児童虐待の一種である「医療ネグレクト」と判断した。

(~中略~)

家裁は六、七時間程度の審理で、親の意思より子どもの福祉が優先すると判断、その日夜に保全処分を認めた。

病院はこれを受け、家裁が選任した親権代行者である弁護士の同意を得た上で治療を実施。

昔、「説得~エホバの証人と輸血拒否事件 (www.amazon.co.jp)」というドラマがありましたが……。なるほど、こんな手があったのですね。

少し調べてみると、2008年2月に「宗教的輸血拒否に関するガイドライン (www.jssoc.or.jp)」というのがでているようで、

しかし、最近に至り、人命にかかわる緊急性の高い手術のケースについて、児童相談所長からの親権喪失宣告申立を本案とする親権者の職務執行停止・職務代行者選任の申立を認容する審判前の仮処分(家事審判法15 条の3・家事審判規則74 条)が、各地の家庭裁判所で相次いで出されている

と書かれているので、こういう感じの対応は少し前から行われているようですね。

説得‾エホバの証人と輸血拒否事件 [VHS]

関連する話題: 法律

2009年3月14日(土曜日)

とある職務質問の様子

公開: 2017年9月26日16時20分頃

警官の「職質動画」YouTubeに投稿で物議 (www.itmedia.co.jp)」だそうで。これですね……職務質問 兵庫県警新港交番 (www.youtube.com)

警察官の発言は収録されているものの、質問されている側が言った内容はカットされているようで、やりとりの内容は良く分からないですね。ただ、0:56あたりで「警職法7条ですよ」と言ってから「2条ですよ」と言い直しているのが興味深いです。それぞれこんな条文です。

第七条  警察官は、犯人の逮捕若しくは逃走の防止、自己若しくは他人に対する防護又は公務執行に対する抵抗の抑止のため必要であると認める相当な理由のある場合においては、その事態に応じ合理的に必要と判断される限度において、武器を使用することができる。但し、刑法 (明治四十年法律第四十五号)第三十六条 (正当防衛)若しくは同法第三十七条 (緊急避難)に該当する場合又は左の各号の一に該当する場合を除いては、人に危害を与えてはならない。

以上、警察官職務執行法 より

7条は武器使用についての規定でした。職務質問で武器使おうとしないでくださいよ……。まあこれは言い間違いということで、職務質問の根拠条文は2条ですね。

第二条  警察官は、異常な挙動その他周囲の事情から合理的に判断して何らかの犯罪を犯し、若しくは犯そうとしていると疑うに足りる相当な理由のある者又は既に行われた犯罪について、若しくは犯罪が行われようとしていることについて知つていると認められる者を停止させて質問することができる。

2  その場で前項の質問をすることが本人に対して不利であり、又は交通の妨害になると認められる場合においては、質問するため、その者に附近の警察署、派出所又は駐在所に同行することを求めることができる。

3  前二項に規定する者は、刑事訴訟に関する法律の規定によらない限り、身柄を拘束され、又はその意に反して警察署、派出所若しくは駐在所に連行され、若しくは答弁を強要されることはない。

4  警察官は、刑事訴訟に関する法律により逮捕されている者については、その身体について凶器を所持しているかどうかを調べることができる。

以上、警察官職務執行法 より

3項がポイント。警察官は職務質問をして良いのですが、質問された側は答弁を強要されないことになっています。つまり、これが警察官職務執行法に基づく職務質問なのであれば、「答えたくなければ答えなくて良い」ということになるはずなのですね。

関連する話題: 法律

2009年3月13日(金曜日)

とらドラ10!

公開: 2009年3月14日16時20分頃

読み終わり。

こう来ましたか。

大河の親とのやりとりをもう少し見たかったかも。というか、大河の母って名前すら明かされないのね。別の機会に描かれるのでしょうか。

※行かせる意味は分かるのだけど、一人で行かせる意味がちょっと分からなかったかも。

関連する話題: / 買い物 / とらドラ!

2009年3月11日(水曜日)

図書カード

公開: 2017年9月26日23時32分頃

図書カードというものが存在することは知っていましたが、書店のレジでそれを使っている人を見た記憶はありませんでした。もっとも、他人様の精算をきっちり観察しているわけでもないので、単に私が意識していないだけで、結構使われているのかも知れませんが……。

そして今日、はじめてレジで図書カードを使っている人を見ました。

……まあ、実は私が自分で使ったのですけどね。

というわけでこんなのを購入。

「秋季限定……」はアホみたいに平積みされていたのに、とらドラ10がなかなかなくて、本屋を渡り歩いてしまいましたよ。

関連する話題: / 買い物

アイマス系更新

公開: 2017年9月26日0時12分頃

脈絡がありませんが、アイマス x Perfume マッシュアップ (blog.n1n9.jp)という話を見て、そういえばPSP版が出たりしたのにアイドルマスター動画リンクを全くメンテしていなかったことに気付いたので少しだけ更新。

関連する話題: ゲーム / アイドルマスター

2009年3月9日(月曜日)

制御文字をどうするのか

公開: 2009年3月11日0時12分頃

正規表現で「制御文字以外」のチェック (d.hatena.ne.jp)

個人的には、RLO(U+202E)みたいなUnicode系の制御文字をどう扱うべきなのかで悩みますね。入れられると困る気もするし、入れられないと困るような気もするし……。結局入れられるようにしてしまう事が多いのですが、RLOを入れられると表示が乱れたりする事があるわけで。

関連する話題: Web

2009年3月6日(金曜日)

森の生活 106日目: 青いバラ

公開: 2009年3月7日0時15分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、106日目。

青いバラが咲きましたよ。

紫のバラと黒いバラの交配。金のバラよりもレアで、DS版 (www.amazon.co.jp)では咲かせられなかったのですよね。

街へいこうよ どうぶつの森(ソフト単品)

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

ささら さや

公開: 2017年9月26日16時25分頃

読み終わったので。

これはなかなか。面白かったというより、温かい気持ちになります。謎解き自体は分かりやすい話で、「志村、うしろうしろ」と思いながら読む感じですが、主人公が良い感じの性格なので気にならないですね。三人組がまた良いキャラで、FF3 (www.amazon.co.jp)を思い出しましたが。

関連する話題: / 買い物

2009年3月5日(木曜日)

セッションIDが視認できると問題がある?

公開: 2009年3月5日18時25分頃

【PHPで作る】初めての携帯サイト構築 第5回 携帯サイトでセッションを取り扱う (gihyo.jp)」という記事があるのですが、よく分からないところが。

セッションIDは視認できてしまうとセキュリティ上問題があるため,PCのWeb上では一般的にCookieを利用してセッションを管理しています。

これ、どういう問題があるのでしょうか。URLにセッションIDをつけるのが危険なのは「見えるから」ではなく「漏れるから」であって、自分のセッションIDが視認できてもそれ自体は特に問題ないように思うのですが……。

まあ、見えたIDを誰かに書き留められたりするとマズイでしょうけれど。ただ、パスワードと違って永続しない上に覚えにくい文字列だと思うので、自分で見えるというだけではそんなに大きな危険はないように思うのですよね。

※ちなみに、Cookieに格納されたセッションIDは、アドレスバーにjavascript:alert(document.cookie)と入れるだけで視認できます。

関連する話題: セキュリティ / Perl

2009年3月3日(火曜日)

DBIx::Class::ResultSetのsearch_literalをSQLインジェクションで突破

公開: 2009年3月5日0時25分頃

DBIx::Class::ResultSetでsearch()を使うとき、第二引数に{rows=>10}などを渡すと簡単にLIMITが指定できます。が、同じ事をsearch_literal()でやろうとすると、可変個のバインド変数を受け取るためかうまく行かず……。DBIx::Class::ResultSetの説明 (search.cpan.org)を読むと、search()の引数が「$cond, \%attrs?」なのに対してsearch_literal()の引数は「$sql_fragment, @bind_values」となっていて、そもそも\%attrsを渡せるようにはなっていないようですね。

……で、いろいろ調べていたら、こんな書き込みを発見しました。

$rs->search_literal('id = ?) FOR UPDATE; --', $id);

search_literalは与えた文字列のまわりを括弧でくるんでくれるので、 FOR UPDATEの部分を外に出すために途中で括弧を閉じ、そのままだと お尻の括弧が余るのでコメントにして無視させるというかなり強引なトリックです。

以上、Perl::DBI より

これはすごい。search_literalの引数はWHEREの後ろに括弧で括られて出力されるので、引数に「)」を混ぜることによってその括弧を閉じてしまい、さらに後ろにいろいろ指定できるようにするという「強引な」技です。要はSQLインジェクションでやりたいことを実現するという……。

関連する話題: セキュリティ / Perl

森の生活 103日目: ひなまつり

公開: 2009年3月5日0時25分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、103日目。

ひなまつりということで。

菱餅がもらえたりしましたが。

街へいこうよ どうぶつの森(ソフト単品)

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

2009年3月2日(月曜日)

語り女たち

公開: 2017年9月26日19時55分頃

読み終わったので。

不思議なストーリーの短編集っぽい感じ。最初の方は怖い話が続きますが、「笑顔」「ラスク様」のようなほのぼのストーリーもあったりして。

語り女たち (新潮文庫)

関連する話題: / 買い物 / 北村薫

2009年3月1日(日曜日)

森の生活 101日目: 3月

公開: 2017年9月26日23時50分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、101日目。

3月に入ったので、また虫が捕れるように。

アゲアゲだそうで。

街へいこうよ どうぶつの森(ソフト単品)

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト