[B! security][development] Cherenkovのブックマーク

ローカル開発環境の https 化 | blog.jxck.io

Intro Web の https 化が進み、それに伴って https を前提とする API も増えてきた。そうした API を用いた開発をローカルで行う場合、 localhost という特別なホストを用いることもできるが、それだけでは間に合わないケースも少なからずある。 localhost を https にするという方法もあるが、そのように紹介されている方法には、いくつか注意すべき点もある。この辺りの話を、直近1ヶ月で3回くらいしたので、筆者が普段使っている方法や注意点についてまとめる。特に推奨するつもりはない。 Update chrome の --host-rules について追記 localhost での開発の注意点例として https://example.com にデプロイする予定の ServiceWorker を用いたアプリがあったとする。開発をローカルで行う

Cherenkov 2021/05/19

localhostでjsのjsonpが動かなくて動作確認していたURLをIPにしたら動いたんだけどこれはchromeがlocalhostへのなんらかのセキュリティ制限によるものか？

リンク

ハッカーがPHPの開発者になりすましてソースコードにバックドアを仕込んでいたことが判明

オープンソースのプログラミング言語であるPHPの開発者らが使用していたGitサーバーに何者かが侵入し、PHPのソースコードにバックドアをしかけていたことが判明しました。ハッカーは悪意のあるコミットをプッシュする際、PHPの開発者であるラスマス・ラードフ氏らになりすましていました。 php.internals: Changes to Git commit workflow https://news-web.php.net/php.internals/113838 PHP's Git server hacked to add backdoors to PHP source code https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/

Cherenkov 2021/03/30

PHP本家のgitサーバ（独自）が侵入されてバックドア仕込まれたのでgithubに引っ越した

リンク

SEだが正直noteのやらかしを見てほっとしている

https://twitter.com/clockmaker/status/1294213347898843136 これ見たけどやらかしが低レベルすぎやしないか、ヒューマンエラーのレベルじゃないだろとりあえずRails触れますって奴ととりあえずNuxt触れますって奴がガチャガチャやった結果にしか見えねえよ API設計が無茶苦茶だし、コードレビューもろくに実施されてねえだろうし、試験の観点はどうなってんだよって話だろやっぱ優秀なエンジニアなんてどこにもいねえんだな、安心して寝るわ

Cherenkov 2020/08/16

リンク

ミクシィのアプリケーションセキュリティの代表的な取り組みについて - mixi engineer blog

こんにちは、opera 大好き松岡剛志です。今日は部長職ではなくて、セキュリティチームリーダー立場でブログを書いています。今回は弊社の様々なアプリケーションセキュリティの取り組みのうち、以下の4つのコンテンツについて書きます。この内容はほとんどが弊社のセキュリティイベントである Scrap Challenge で使われたスライドの焼き直しです。トレーニングセキュリティレビューコードレビューセキュリティチェックトレーニング現在ミクシィでは新卒エンジニアに対して1カ月程度の缶詰の教育を行っています。そのコンセプトは以下です。関係各所、チーム、チーム横断でのタスクに関して　迷惑をかけずに自分で判断できる/あるいは正しく判断を仰げる状態までの成長。現状の技術的問題点や課題を把握し、改善策や改善のためのプランニングができる。各項目への知識体系の羅針盤を提供して、自学自習によ

Cherenkov 2012/01/19

APIリファレンスもしっかり頼む

リンク

開発者のための正しいCSRF対策

著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめにウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサイトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとする。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうるウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz

Cherenkov 2011/03/08

リンク

Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー

はい、Ruby 1.9.2がリリースされましたね。このバージョンではWEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパンで紹介されている脆弱性が僕が書いたパッチで修正されているわけなのですけど、そもそもなんで僕が修正しているのか、って顛末がわりと面白いので紹介します。 Apple、upstreamに報告してくれないまま脆弱性をCVEに届け出る upstreamに連絡が来ないまま脆弱性が公開される ruby-devにAppleが書いたと思われるパッチが貼られる(Appleでない人間によって) パッチのライセンスが不明なので取り込めないライセンスを問い合わせるAppleの窓口が不明なので問い合わせもできない ruby-devを読んだ人はライセンス上安全なパッチを書けない脆弱性だから話は非公開に進めたい yuguiさんがruby-devを読んでない僕に書かせることにする

Cherenkov 2010/10/01

「yuguiさんがruby-devを読んでない僕に書かせることにする」

リンク

初心者Webアプリケーション開発者がチェックすべき情報源 - ハニーポッターの部屋

初心者Webアプリケーション開発者がチェックすべき情報源を集めてみた。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 @ikepyonさんのご指摘により﹁LASDECウェブ健康診断﹂を追記した。はてなブックマークの関連リンクによさそうな情報源があったので追記しました。それから、カテゴリを作りました。 ■Webサイト構築安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html 安全なウェブサイトの作り方(全92ページ、2.09MB︶セキュリティ実装チェックリスト︵Excel形式、33KB︶安全なSQLの呼び出し方︵全40ページ、714KB︶ ■Webアプリケーション開発セキュア・プログラミング講座 http://www.ipa.go.jp/security/awareness/ve

Cherenkov 2010/07/11

リンク

はてなブックマーク

タグ

関連タグで絞り込む (26)

securityとdevelopmentに関するCherenkovのブックマーク (7)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス