【新機能】作り忘れたまとめはありませんか?31日前まで期間指定してまとめが作れる高度な検索ができました。有料APIだからツイートの漏れはありません!
9
ログインして広告を非表示にする
前へ 1 ・・ 25 26 次へ
🍻 @kt81 2013-07-29 12:14:45
ダーティな状態の入力と、想定内の入力に分かれる瞬間があると思うんだけど、そこで使う言葉は「バリデーション」だなあ
nappa @nappa 2013-07-29 12:30:13
サニタイズ言うなキャンペーン(2005年〜2006年)当時の高木さんの「最初からデフォルトでエスケープされるように作られていたらよかったのに」……というぼやきは、その後 Rails3 (2010年) で実現した。慧眼だと思う > http://t.co/jV9KtbGjpN
Kusakabe Youichi @void_No3 2013-07-29 15:59:06
オレンジリスト “@hasegawayosuke 7年前「もはやサニタイズという語が何を指しているのかわからないので、サニタイズと言うな」→3年前「もはやホワイトリストという語何を指しているのかわからないので、ホワイトリストという語は使わない」→次はバリデーションと入力値検査…”
徳丸 浩 @ockeghem 2013-07-29 20:21:04
妥当性とは仕様の所作飲み会(略称バリデーション飲み会)、明日19時から都内某所にて行います。まだ若干名の参加が可能ですので、希望者は https://t.co/x0alQFSLtd よりML経由で申し込み下さい。直前のご案内で申し訳ないです
まきのっぴ @pmakino 2013-07-30 01:47:06
ここ数日分を付け足しました 「Rails4 の Strong Parameters とバリデーション論争私的まとめ」 http://t.co/0aXnqUpmfw
そーだい@初代ALF @soudai1025 2013-07-30 09:20:03
今週末です!validationで話題になったあの人や漢のコンピュータ道のあの人に会えるチャンス! >> 第一回 中国地方DB勉強会 | Local Search - 近所のイベントを探そう http://t.co/3IPc2ZZDEH
リンク Local Search - Search an event nearby 第一回 中国地方DB勉強会 | Local Search 隔月程度でDBに関する勉強会を中国地方で開催しています。 第一回 中国地方DB勉強会 ※随時詳細が決まり次第追加していきます 駐車場のご利用枠には限りがあるため、公共交通機関でのご来訪をよろしくお願いします。 主催:PostgreSQLユーザ会中国支部 コンテンツ 発表時間 発表者 タイトル 13:00  ..
徳丸 浩 @ockeghem 2013-07-30 10:34:34
Amazonのパスワードは128文字まで(maxlengthの設定)なんだけど、ブラウザのアドオンでmaxlengh無効化して130文字送ってみたら128文字に切って設定されたっぽい。とくに警告などは出なかった。
徳丸 浩 @ockeghem 2013-07-30 10:36:45
大垣さんに言わせると、maxlengthを超えた文字長の入力は「攻撃」なのだからして、セッションを遮断するなど断固とした処置をとるのが「グローバルな常識」ということだったので身構えながらやってみましたが、処理は継続された。ホント、「グローバルな常識」に従ったサイトはどこにあるのか
徳丸 浩 @ockeghem 2013-07-30 10:48:57
【訂正】Amazonのパスワード、131文字で設定できました。128文字に切り詰めているというのは実験の誤りだったようです。お詫びして訂正します (_ _)
徳丸 浩 @ockeghem 2013-07-30 10:50:33
ただマスク表示した状態でのmaxlength=128なので、「知らないうちに切り詰められている」ことは十分ありえますね。あと「グローバルな常識」に従っていない点は変わらない…
Ikeda Masakazu @ikepyon 2013-07-30 10:52:42
「世界の常識」という言葉は大抵「自分の」という言葉が抜けているw
nappa @nappa 2013-07-30 11:23:57
今夜開催です。空席ございますよー RT @ockeghem: 妥当性とは仕様の所作飲み会(略称バリデーション飲み会)、明日19時から都内某所にて行います。まだ若干名の参加が可能ですので、希望者は https://t.co/HlTXli798s よりML経由で申し込み下さい。
徳丸 浩 @ockeghem 2013-07-30 17:46:09
@ajiyoshi さんはメッセージ見てくださったかしら…
yousukezan @yousukezan 2013-07-30 17:56:00
リマインダ見たら竹橋じゃなくて神保町集合だった
まきのっぴ @pmakino 2013-07-30 18:36:10
仙台からの帰路にてちょっと寄り道…東京の地下鉄は3Gがガンガン入って毎度羨ましい。それにしても蒸し暑い。 (@ 神保町駅 (Jimbocho Sta.) w/ 4 others) http://t.co/ChFQzpYSrE
🐾 @ajiyoshi 2013-07-30 18:41:29
@ockeghem あ、ごめんなさい。fbのメッセージは見ております。が、ちょっとトラブルがあり30分くらい遅れるかもしれません。
徳丸 浩 @ockeghem 2013-07-30 18:46:20
@ajiyoshi 了解です。お待ちしています
🐾 @ajiyoshi 2013-07-30 18:46:49
@nappa @ockeghem 申し訳ありません。直接店に伺います。
Shin'ichiro SUZUKI @bellonieta 2013-07-30 19:02:44
Strong Parametersがやっとわかってきたが,正直なところ3.2系の時代に帰りたい http://t.co/YhtyHColhJ
nappa @nappa 2013-07-30 22:35:04
「バリデーションは仕様の所作」飲み会終了。みなさまありがとうございました〜
yousukezan @yousukezan 2013-07-30 22:39:22
おつかれさまー RT @nappa: 「バリデーションは仕様の所作」飲み会終了。みなさまありがとうございました〜
🐾 @ajiyoshi 2013-07-30 22:42:32
妥当性とは仕様の所作飲み会が終わったが、例の方の著作をちらっと読んで、これに言及する時はポリティカルコレクトネスに気を使わないとやばいと思った。
まきのっぴ @pmakino 2013-07-30 22:45:59
都内某所で飲み会でした
まきのっぴ @pmakino 2013-07-30 22:48:10
@nappa 幹事役ありがとうございましたー!
まきのっぴ @pmakino 2013-07-30 22:52:30
訓練されたなんとかがきウォッチャーとしてこれからはポジティブに捉えて生きていきたい
nappa @nappa 2013-07-30 23:28:55
いやー、今日のはなかなか濃い飲み会だった…を
nappa @nappa 2013-07-30 23:39:01
本当の戦いはまだまだこれから、ってとこかな…
yousukezan @yousukezan 2013-07-31 01:29:51
そういや今日の飲み会でバリデーションおじさん同様に別の人がネタキャラ扱いされていたことがちょっと気になった。
Ikeda Masakazu @ikepyon 2013-07-31 01:34:48
@yousukezan 誰がネタキャラ扱いだったんだろ?
yousukezan @yousukezan 2013-07-31 01:37:12
@ikepyon とりあえず秘密ですがセキュリティ界隈の外からだとそう思ってる人もいるんだなあとw
yousukezan @yousukezan 2013-07-31 15:42:48
上杉隆氏に学ぶインターネット討論術とか武雄市長から学ぶとかいろんなバリエーションはあるんだろうけど拾うの面倒くさい
FUKUI Osamu @iR3 2013-08-01 00:45:56
まとめ見つけ / “大垣さん、エンジニアなら正々堂々と議論に参加してください - Togetter” http://t.co/MNKznpiIHN
FUKUI Osamu @iR3 2013-08-01 01:16:03
まとめ読みました。 / “Rails4 の Strong Parameters とバリデーション論争私的まとめ - Togetter” http://t.co/ju6MY32vCX
まきのっぴ @pmakino 2013-08-01 02:03:07
Validation に空目 RT @nico_nico_info: [放送開始] 水樹奈々生出演『Vitalization』発売記念「夏の奈々祭り」第四夜を開始しました。http://t.co/y2yfdQw7OX #mizukinana_niconico
徳丸 浩 @ockeghem 2013-08-01 12:28:56
確かにエスケープはセキュリティのためにするのではない。セキュリティのためにするのはCSRF対策のトークン検査などに限られますね iwamotのブログ : 目的はセキュリティ対策ではない/オートエスケープへの期待 http://t.co/G3BbUyj8w7
リンク iwamotのブログ 目的はセキュリティ対策ではない/オートエスケープへの期待 : iwamotのブログ 入力バリデーションはセキュリティ対策です。システムが意図通りに動作するように対策する入力バリデーションをセキュリティ対策ではないとするならば,システムが意図通りに動作するようエスケープしたりヘルパー関数(Viewヘルパーやプリペアードクエリ)を利用することも
yousukezan @yousukezan 2013-08-01 12:32:05
われわれWebアプリ開発者は、SQLインジェクションを防ぐためにプリペアド・ステートメントを使うのではない。XSSとエスケープについても同様である。XSSを防ぐためにエスケープするのではない。 http://t.co/i4BhOQtMlQ
yousukezan @yousukezan 2013-08-01 12:34:54
「結果としてセキュリティ対策にもなっている」ことと「セキュリティ対策」の違いがわからない自称セキュリティに詳しい人がいる気がする
yousukezan @yousukezan 2013-08-01 12:40:28
「すべてのバグ対策はセキュリティ対策なのだ」みたいな主張をしていた人もいる気がするなあ
徳丸 浩 @ockeghem 2013-08-01 12:47:12
『エスケープやプリペアードクエリの利用だって「セキュリティ対策」ではないでしょう。怠ったら脆弱性というだけで、元々必要な処理です』 バリデーションもエスケープも「セキュリティ対策」ではない - 徳丸浩のtumblr http://t.co/ztZYF7qG2u
Yosuke HASEGAWA @hasegawayosuke 2013-08-01 12:55:58
Webアプリケーションにおいて、明確に「セキュリティ対策」のためだけに施されれる機構を3つ以上挙げよ。(5点)
🐾 @ajiyoshi 2013-08-01 13:17:29
https 利用、CSRF対策、ログイン(認証)、パスワードのストレッチング とかかな → RT
前へ 1 ・・ 25 26 次へ
安心安全にみんなのツイートを残しておける。 今日の出来事をまとめて残そう。

ブックマークしたタグ

あなたの好きなタグをブックマークしておこう!話題のまとめを見逃さなくなります。

コメント

Jun Okada @ojunn 2013-07-29 02:43:53
浩光さんがこの話題について発言できなくなっているのが残念。
ログインして広告を非表示にする
ログインして広告を非表示にする