WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 EC-CUBEで脆弱性を見つけたり、mixiの脆弱性報告制度で成果を挙げたりしたせいか、「どうやって脆弱性を見つけてるんですか？」という質問をされることが時折あり、一応手順は説明するのですが、いつも口頭で細かくは説明できなくて申し訳ないので、自分のやり方をまとめてこのブログにアップしておきます。 標準的な脆弱性検査のやり方しか説明していないので、脆弱性検査のやり方を既に把握している人が読んでも得るものは少ないのではないかと思います。今回は脆弱性検査に興味があるが何をどうしたらいいか分からないような初心者向けコンテンツで

インターネットを眺めていたら、リリースの高速化自体を目的化するのではなく、ビジネス成果によって成否を判断するべきだという主張があったので、思うところを書いておく。起点は他社さんにおける議論だが、そこは問題ではなくて、もし自分の関わるところでそういう議論が起こったら、自社の技術に対してそれなりのポジションにおいて関係する人間としてどのように考えるべきだろうかという視点で述べる。 リリースあるいはリリースの高速化自体を目的化するのではなく、その結果としてのビジネス的成果が大事だということは、マネジメントにとっては当たり前なわけで、いちいちいうまでもないことだろう。そもそも、サービスが圧倒的に成長し続けていれば、リリース頻度 = 成果になるはずだ。現状そうでないのであれば、成長速度が遅いということになる。エンジニアが技術を尽くしてリリース速度を向上させたにも関わらずそれが成果に結びつかないとした

前々から言っていた watchdogs.vim ですが、そろそろ煮詰まってきたのでまとめ記事にしようかと。 ちなみにこれとは関係ありません。 [追記] watchdogs.vim で quickfix ウィンドウが開かない場合の対処方法 watchdogs.vim でハイライト（hier.vim）が更新されない不具合を修正 watchdogs.vim で errorformat が反映されなかった不具合を改善 quickrun.vim で無名バッファでも quickfix に出力されるようにしてみた [概要] Vim でシンタックスチェックを行うためのプラグインです。 類似プラグインでいえば、syntastic があります。 syntastic - github syntastic との最大の違いはバックエンドに quickrun.vim を使用する事で、 quickrun-module

1995年に公開された映画「GHOST IN THE SHELL/攻殻機動隊」のファンムービー「Project 2501 - Homage to ghost in the shell」が公開されています。企画したのは写真家のAsh ThorpさんとTim Tadderさんで、3DCGアーティストとしてGavriil Klimovさん、Furio Tedeschiさん、Vaughan Lingさん、James Fordさんが参加。合計20人を超えるアーティストにより、原作への敬意を込めて「攻殻機動隊の映像を現代の最新技術で作るとどうなるのか」を追求しています。 Project 2501 – Homage to ghost in the shell http://www.gits2501.com/ サイトでは場面写真やポスターが公開されていますが、それがどのように作られたのかはムービーを見ると

Boost.勉強会 #15 札幌が、下記のとおり行われた。 Boost.勉強会 #15 札幌 - boostjp Boost.勉強会 #15 札幌 : ATND 5月22日 「あたし、ガールズバーのホームページ作ってるんだよね」と、三十路過ぎの女が言った。「とにかく、可愛い女の子がいっぱいいますってことにしなくちゃいけなくて、本当大変」 「悲惨だな」と筆者は答えた。悲惨としか言いようがない。「そもそも、何故人と話すのに金を払わねばならないのだ。今、私がここでお前に金を払って、会話してくれと頼むのは、おかしいだろう」 「でも、あたしみたいな三十路過ぎの女じゃなくて、二十代だし」 謎だ。筆者には、女の魅力というものを、世間一般が評価するように、正しく評価できない。人の魅力の評価というのは、筆者に欠如した能力であるらしいのだ。この三十路過ぎの女は、その年齢と、そして鍛えていない肥満した体躯から考

辞めてから一年以上経ってもう時効だろうから書くが、俺はコルセンで派遣やってた。 どんなことをやってたかは詳しく書かないが、いわゆる受信業務で客からの問い合せに答える業務だった。 まあ、このご時世にコルセンにわざわざ電話をかけてくるんだから、お察しの通り、性質の悪い客が多い。ネット通販関係だったから余計にひどかった。だから実質的には苦情受付だ。もっとも、下っ端派遣だから俺は苦情を受け付けるだけで、実際の後処理は上の奴がやっていたが、それでも冷静さを完全に失って罵声を浴びせてくる客の相手をするのは面倒くさいし、かといって対応しなかったらしなかったらで上からはどやされるから、ここでなんとか踏ん張らないといけない。 そんなある日のこと、特にひどい苦情の電話を処理した後、ツイッターで派遣先の会社名とコルセン関係の単語を並べて検索した。ツイッター検索は個人的な趣味で、クレームをつけてきた奴が呟いていた

最初のコミットの内容を変更したい Gitで最初のコミットの内容を変更したいと思って git rebase -i <最初のコミット> とやっても、最初のコミットは出てきません。 % git log --oneline 4f4f42c 二番目のコミット 9d4876c 最初のコミット % git rebase -i 9d4876c pick 4f4f42c 二番目のコミット このような場合は git rebase -i --root を指定すると良いようです。 % git rebase -i --root pick 9d4876c 最初のコミット pick 4f4f42c 二番目のコミット 最初のコミットの前に別のコミットを入れたい さっきと同様に git rebase -i --root で開いて、最初のコミットを edit にします。 % git rebase -i --root edit

11. ①AVCaptureSesison の準備 // セッションの作成 self.session = [[AVCaptureSession alloc] init]; _session.sessionPreset = AVCaptureSessionPresetHigh; @property (nonatomic) AVCaptureSession *session; 12. ②入力デバイス（カメラ）の準備 // 入力デバイスの設定 AVCaptureDevice *device = [AVCaptureDevice defaultDeviceWithMediaType:AVMediaTypeVideo]; ! AVCaptureDeviceInput *input = [AVCaptureDeviceInput deviceInputWithDevice:device error:n

iPhoneなどのiOSデバイスがハッカーによってリモートでロックされ、解除するにはPayPalを通じて身代金を要求されるという事件がオーストラリアで発生しました。対処法を求めた被害者がAppleサポートコミュニティにスレッドを投稿したところ、同様の被害に遭っている人が続出。The Age Digital Lifeが、その手口と対処法について報じています。 Australian Apple iDevices hijacked, held to ransom http://www.theage.com.au/digital-life/consumer-security/australian-apple-idevices-hijacked-held-to-ransom-20140527-zrpbj.html My devices have been hacked. What do I...:

端末を保護するための機能が、逆に攻撃の手段に使われている。米Appleのセキュリティ機能「Find My iPhone（iPhoneを探す）」を悪用してApple製デバイスをハッキングする攻撃が発生していると、複数の海外メディアが報じている。 Find My iPhoneは、「iPhone」などのiOSデバイスや「Mac」パソコンを紛失した際に、クラウドサービス「iCloud」からデバイスの現在地を探したり、情報保護のためにロックあるいはデータ削除したりできる機能だ。 Appleのサポートフォーラム「Apple Support Communities」に現地時間2014年5月26日、オーストラリアのユーザーが「端末がハッキングされた」と投稿した。「veritylikestea」と名乗る同ユーザーによると、「iPad」を使っていたところ、突然ロックがかかり使用できなくなった。所有するiPho

Railsアプリからウェブサイトの登録ユーザー宛に、メールを送信する際に、Gmailを使ったらそっこうでアカウントをロックされたので、別の手段を取ることに。 Gmailは、自分のログインしたことのない場所で、何者かがログインを試みようとすると警告を出してきます。よく海外を移動する身としては、毎回確認されてイラっとすることも。クレジットカード会社も同じようなことをやってますよね。 で、今回はRailsアプリからGmail経由でメール送信しようと思ったんですが、Heroku（ヨーロッパリージョン）に乗っているので、ヨーロッパから大量の不正ログインがあったと判断され、強制的にパスワードのリセットを求められました。 Gmailの親切機能ですが、アプリで使うのは無理だ…ということで他の方法は… 普通にHerokuのadd-onに選択肢がけっこうありますね。 Mandrill あのMailChimpに

Annotation.md Idobata Gemfile プレゼント tl;dr IdotabaのGemfileは"全プレ"になりました。ご笑納ください。→ Gemfile プレゼントについてのお詫び rebuild.fmのep36でお知らせさせていただきました、Idobataの最新版Gemfileプレゼントをお届けいたします。 過日はIdobata会議01への多数のご参加ありがとうございました。おかげさまで盛況なミートアップとなりました。 (当日会場を提供いただいたEngine Yardさまのブログにて、Idobata会議01当日の様子がまとめられています。ありがとうございます!) さて、肝心のGemfileですが、Engine Yard Cloudのstable-v4スタックでRuby 2.1.2が利用可能になるのを待ちつつ、2.1.2対応をしていたら、Gemfileをお届けするのが

4OBQ4IPUͰอ࣋͞ΕΔ৘ใ͸σʔλͷ಺༰ͱ4OBQ4IPUऔಘΛߦͬͨOPEF λΠϓͰ͋Γɺ4FDVSJUZ� (SPVQ΍3FQMJDBUJPO� (SPVQ͸Ҿ͖ܧ͕Εͳ͍ Կ͔ো֐͕ൃੜͯ͠ɺ4OBQ4IPU͔Β෮ؼͤ͞Δ৔߹͸Ұ୴ผ໊Ͱ�ͭ .BTUFS� OPEFΛ࡞੒͠ɺ3FQMJDBUJPO� (SPVQͳͲΛ࡞੒ɺ4FDVSJUZ� (SPVQ ͷద༻Λߦͳ͏ ͞Βʹɺ&OEQPJOU� 63-͕৽͍͠΋ͷʹͳΔͷͰɺΞϓϦέʔγϣϯͷઃ ఆͳͲΛม͑Δඞཁ͕͋Δ ͜ͷลΓ΋ɺطଘͷ&OEQPJOUʹ4XBQͯ͘͠ΕΔػೳ͕͋Δͱߋʹศརͩ ͱࢥ͍ͬͯ·͢ɻ ͜Εͷճආํ๏ͱͯ͠͸ɺ3PVUF��ͳͲ%/4ʹ$/".&Ͱผ໊Λ෇͚͓ͯ ͖ɺ&OEQPJOUΛઃఆ͢Δͱ%/4ϨίʔυͷมߋͰҰԠ͸ରԠग़དྷ·͢ ͕ɺεϚʔτͰ͸ͳ͍Ͱ͢ɻɻ

前置き 製作中の Webサイト を、とりあえずいい感じのレイアウトにして、完成形のイメージ（や目の保養）にする為に、よく Bootstrap が使われています。 Bootswatch は Bootstrap のテーマで、やっぱりいい感じのレイアウトがまとまっています。 この中のテーマの1つを Rails 4 で利用する方法をメモします。 Gemfile gem 'twitter-bootswatch-rails', '~> 3.1.1' gem 'twitter-bootswatch-rails-helpers' gem 'execjs' gem 'less-rails'

最近 Google Compute Engine でも CoreOS が選択できるようになりましたし、国産VPSでも導入できないかなと思いさくらのVPSに入れてみることにしました。 CoreOS is Linux for Massive Server Deployments https://coreos.com/ 事前準備 ISOイメージのダウンロード さくらのVPSでは「ISOイメージインストール」でISOイメージをSFTP経由でアップロードし、任意のOSをインストールすることが可能です。 CoreOSのサイトからISOイメージをダウンロードします。 Dockerのバージョンを0.11系を利用したいので、「Alpha Channel」を選択し、「Download Alpha ISO」をクリックしダウンロードします。 ISO - CoreOS https://coreos.com/docs

グラニのリアルタイムバトルRPG『神獄のヴァルハラゲート（以下、ヴァルハラゲート）』が好調だ。すでに170万人（2014年5月現在）を超える会員を獲得しているだけでなく、リリースから1年以上経過した現在でも「GREE」の人気ゲームランキングでもたびたび首位を獲得するなど、「GREE」はもちろん、国内でも代表的なソーシャルゲームの一つとなっている。 ゲームがヒットした要因を考える際、企画やプロモーションといった施策に注目が集まりがちだが、今回は「UIデザイン」に着目した。「UIデザイン」は、ユーザーが快適に遊べるようにするための重要な要素だが、模範解答が存在せず、不断の見直しと改善が必要になる。そこで、グラニのUIデザイナーの清水愛子氏、フロントエンドエンジニアの吉野友人氏、久保田翔太氏の3名にインタビューを行い、『ヴァルハラゲート』の開発チームにおけるUIデザインの改善に関する取り組みにつ

昨日はこんな勉強会に参加してきました。 今夜、Webアプリの正しいUIテストの方法が決定されます : ATND 結論から言うと、タイトルの通り、Webアプリの正しいUIテストの方法は決まらなかったんですが、テーマ自体は興味深いテーマだと思いますし、今後も継続的に勉強会が開催される模様なので、とりあえず感想と今後期待することをまとめておきます。 ちなみにこのエントリは僕の感想をだらだら書くためのものであり、セッションの内容を説明するものではありません。どういう話があったのかについてはTogetterにまとめていただいていますので、こちらをご覧いただければと思います。 今夜、Webアプリの正しいUIテストの方法が決定され…ませんでした！ - Togetterまとめ UIテストとは何か まず、UIテストとは何なのかという問いに対する回答が昨日会場にいらっしゃった参加者の皆さんでおそらくバラバラだ

cakesは2022年8月31日に終了いたしました。 10年間の長きにわたり、ご愛読ありがとうございました。 2022年9月1日

2014-05-28 『超連射68k』に込められたシューティングゲームの攻撃性　フリゲで始めるSTG：第1回 連載：フリゲで始めるSTG 書いた人：死に舞 死に舞氏の連載第１回は、シューティングは避けゲーではない！というお話です 先週の連載が予想以上の反響で少々、怯えています......。プロフィールにも書きましたが、私、せいぜい東方ノーマルをノーコンティニュークリアできる程度の能力。STGが特別に得意というわけではありません。とはいえ、「好きなもんは好き！」という気持ちで、少しでも多くの人にSTGの楽しみを知ってもらえたらと考えています。 またどちらかと言えば、STG好きからの反応が多かったのですが、本連載の主眼はSTGの新規プレイヤー獲得にあります。なので、テクニック的な話は、初歩の初歩程度しか話しませんし、個別のタイトルの攻略などはないです。個々の作品を例にしつつも、マニアックに思わ

ミッ神とヨシ神（適当）

2014年4月16日より2014年5月14日まで開催していたpaizaオンラインハッカソン（略してPOH![ポー！]）Vol.2「女子大生とペアプロするだけの簡単なお仕事です！」で提出された最速コードはどのような高速化のアプローチでで生み出されたのでしょうか？　POH Vol.2に登場した女子大生インターンプログラマの木野ちゃん（左のイラスト）にアルゴリズムを図解で教えるとしたら、どう教えるだろうか、という事で、今回は図解してみました。 今回は前回の最速コード発表レポート（【結果発表】女子大生プログラマの心を鷲掴みにした最強のコード8選）に引き続き、最速コードの裏側に迫ります。 ■高速化のアプローチ方法について 今回もPOH Vol.1 と同様に、POH Vol.2では計算量の改善による高速化を柱とするアプローチを想定して出題されました。基本は定数倍高速化によって想定解法よりも悪い計算量の

名前：名無しさん投稿日：2014年05月26日 大学アニメはなぜつまらないのか 小中高や会社が舞台のアニメは面白いのに 名前：名無しさん投稿日：2014年05月26日 ゴールデンなんちゃらの悪口はやめたまえ 名前：名無しさん投稿日：2014年05月26日 君のいる町とかゴールデンタイムとかディスってるわけ？ 名前：名無しさん投稿日：2014年05月26日 スポーツのようにセックス始めるような連中になんの価値があろう 名前：名無しさん投稿日：2014年05月26日 酒が解禁されたらもうだめ セックスするしかないもん 名前：名無しさん投稿日：2014年05月26日 大学が舞台で面白くないアニメの数よりも 高校が舞台で面白くないアニメの方が圧倒的に多いと思うよ 名前：名無しさん投稿日：2014年05月26日 大学アニメヒロイン＝チャラ男とヤりまくってる 名前：名無しさん投稿日：2014年05月2

require 'egison' include Egison match_all(object) do with(pattern) do ... end end match(object) do with(pattern) do ... end with(pattern) do ... end ... end パターンマッチに成功すると、withに渡されたブロックが実行され、その結果が返されます。 このライブラリのパターンマッチでは、パターンマッチの結果が複数あるということがあります。 match_all構文はそのすべてのパターンマッチの結果それぞれについてwithに渡されたブロックを実行し、すべての結果をまとめた配列を返します。 match_all構文は1つのwith節を取ります。 一方、matchは複数のwith節を取ります。 先頭のwith節のパターンから順番にパターンマッチに成功

令和6年能登半島地震により被害を受けられた方々に心よりお見舞い申し上げます。 被災地の一日も早い復旧をお祈りいたします。

ちょうど半年前に、はてなブックマークについてはこんなまとめ記事を書きました。⇛知らなきゃ損？熟練者なら当然知っているはてブのこんな使い方 最近ははてなスターもよく使うようになり、これはとても便利だなと思いまして、はてなスターの利用法について書いてみたいと思います。あくまで個人的な使い方、楽しみ方を書いたもので、はてなスターの熟練者の方にとっては面白くないかと思いますので、id:feitaさんはそっ閉じして下さい。 なお、情報としては以下の公式ページに重複があることご容赦ください。 はてなスターのヘルプ - お問い合わせ - はてな はてなスターをブログに設置するには - はてなスター日記 はてなブックマークにスターを押す 一番広く使われているのがこの用途でしょうか。はてなブックマークページにて、誰かのはてなブックマークにスターを押すことで、そのブックマークを目立たせることができます。Fac