/ 最近 .rdf 追記 設定 本棚

脳log[2013-05-17~]

最近

2013年05月17日 (金) 機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記」■単純に GETで取得できる JSONに機密情報と呼べるものが存在しうるのかという疑問。ブコメを見ると COOKIEにひもついた情報でありうるとのこと。なるほどね。■XHRでのアクセスと SCRIPTタグでのアクセスの間に異なる制限が課されていたりして、その制限を乗り越える手段になるというのが問題の中心なのかなと思った。■JSONPだとここで書かれた方法を使うまでもなく、自分の HTMLページの自分のスクリプトから、閲覧者の User-Agentが SCRIPTタグに従って他所のドメインから取得してきた情報(JSONP方式で JSONデータを受け渡す JavaScript)にアクセスできたりして、機密にあたる情報を含めることがそもそも不可能だったりするんだろうか。■X-Content-Type-Options: nosniffという HTTPヘッダを初めて知ったんだけど、今回の件とは存在の目的が異なるという気がする。もともとはサーバーレスポンスを無視して IEがコンテンツの中身によって解釈を変える(これをたぶん sniffingという)のをやめさせるためのものだろう。画像ファイルを装う攻撃の例が挙がってるけど UTF-7関連も同じだと思う(追記:ちょっとだけ違うかな。ソースが同じ葉っぱ日記だったのだけど、あちらは IEが理解できる charsetを指定してる限り無視はされないらしい)。で、この nosniffオプションが sniffingの禁止だけでなく HTTPヘッダと HTML内指定(METAタグ, SCRIPTタグ)の優先順位を決めるためにも使われるって?その結果は標準や現実準拠? HTML4では文字コードとスクリプト・CSSそれぞれに一定の(だが異なる)優先順位が与えられてるらしいけど。■世の HTMLは遍く IEの挙動に依存しているから、IEに例外的な動作を期待する少数派の諸君は須く X-Content-Type-Options: nosniff ヘッダを出力したまえってことなのね。新しい IEは標準や潜在する危険を解するけれどそのレスポンスヘッダを見たときしか挙動を改めたりはしないよ、と(※このへん嘘なので(現実はなお悪い)バージョンを含む正確な情報は元記事にあたること)。MSの姿勢は一貫していて潔いなあ。■スクエニのブラウザゲームに JSONを通して成長パラメータがだだ漏れだというミス(仕様)があると少し前に話題になったが、あれは第三者に対してどころか一対一のクライアントに対しても秘密にしておけるとでも思っていたんだろうか。■IEに限らず多かれ少なかれコンテンツスニッフィングは行われてるみたい。Firefox然り、Google Chrome然り。そりゃあ人情として、ルールに従って馬鹿のふりをするよりユーザーの手助けをしようとするでしょうね。IEのは人間による明らかな指定を無視する傲慢で論外な挙動だけど。動機や条件が何であれ、それが外部スクリプトの実行につながりさえしなければいいのだろうか。そう単純でもないのだろうか。■■■@2013-05-20 こちらも有名どころ。「JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 | 徳丸浩の日記」■■■@2013-07-20 これを読むと IEと Fx,GCへの印象が変わるなあ。「Heads up: nosniff header support coming to Chrome and Firefox · GitHub」IEにつづいて Fxと GCも nosniffに対応するから、GitHubがホストするファイルの "raw"ビューURLを SCRIPTタグの SRCに指定しても、サーバーが text/plainだと主張する限りブラウザはスクリプトとして実行しなくなるよ、ってさ。これも釈然としない nosniffの使い方だ。ブラウザはもともと sniffingを行っていたのではなくて、参照した側と参照された側のどちらの言うことを尊重するかという違いでしかないからだ。

ツッコミを入れる

2013年05月14日 (火) enchantMOON発売延期。誕生日ごろに出荷できる見通しだって(誕生日は年に一回しかないから再延期されるともう慰めが見つからないよ)。

ツッコミを入れる

2013年05月13日 (月) ソニーが3週間バッテリーがもつA4サイズ「デジタルペーパー」端末を開発、2013年度内に商品化を目指すことに - GIGAZINE」■でも読書端末ではない。PDFが読めるからそういう用途にも使えるだろうが未読管理が面倒。解像度4倍で一冊あたりのファイルサイズが4倍(※スキャン画像(JPEG)を束ねたPDFの話。テキストベースのファイルは別)。40GBの4倍で160GBは現時点で確実に必要。未読の PDFだけ放り込んで読み終えしだい削除する使い方になるだろうな。ありかもしれない。PRS-650向けと合わせて2種類の最適化 PDFを作成する手間は……1200×1600の解像度があれば最適化は不要かもしれない。であれば、zipで固めた jpegを読む機能が欲しい。35000円まででどうかな? 20000円だととりあえず保護しておくレベル。■業務用?じゃあ値段は期待できないか。

ツッコミを入れる

2013年05月12日 (日) [SakuraEditor]「Sakura Editor / PatchUnicode / #480 strlen系と0の比較をやめる」■少なくとも二人の目をすりぬけたミスの、もともとの記述(ifの条件の一部分)はこういうもの。「!_tcslen(macrorec.m_szName)」■まず、intと boolを同一視してるのが古い。しかも否定! 21世紀にこれはない。空であるかを調べるのに文字列を末尾のターミネータまでたどるのも耐え難い(これがパッチの目的)。Rubyの文字列には empty?メソッドがあって、なんで? 0==string.lengthでいいやん?と最初は思ってたんだけど、Cのように原始的な文字配列しかサポートしてない言語にこそ empty述語が必要なのだった。ということに気付いたのは Rubyが emptyという語彙を与えてくれていたおかげ。■C#には途中から IsNullOrEmptyメソッドが追加されてるし、Rails方面では blank?メソッドが追加される。blank = nil or empty. ■ tcsisempty関数を作るというのは?szisemptyという名前で char*版 wchar_t*版のオーバーロード関数を用意するのは?

ツッコミを入れる

2013年05月11日 (土) 電書の単行本価格ほどあほらしいものはない。再販制度のない電書でそれを利用して再販制度に制約された販売形態の再現をするとか、考え方が逆行してる。ハードカバーみたいな物質的はったりの効かない電書で単行本価格はありえないだろう。■これが無意識に小説にしか当てはまらないと考えている理由は何かと考えてみれば、文庫本が出るかどうかだった。単行本価格っていうのは文庫本価格と比較されて初めて現れる。■単行本と文庫本を同時に発売できない出版社には無理な要求であった。勝手にやってればいいよ。

ツッコミを入れる

2013年05月10日 (金) 陣痛促進剤の過剰投与73%…脳性まひ児調査で : 社会 : YOMIURI ONLINE(読売新聞)」■陣痛促進剤とは劇薬なのか風邪薬なのか。■陣痛促進剤が使われて健康に生まれてきた子供のうち、過剰投与が行われていた割合は?■スーパードクターKにオキシトシンとか出てきた。■緊急時に何を優先するかという問題もこの数字の中には含まれてるんでないかな。子供の命。母親の命。指針に絶対服従というのは目の前の現実を見ずに医師生命を最優先にした選択かもしれない。帝王切開も選択肢にあると思うけど。■■■「アルツハイマー患者の脳内、糖尿病と同じ状態に  :日本経済新聞」■遺伝子が変化とか、遺伝子が激減とか、ちょっと意味がわからないです。ヒストンがむにゅむにゅとか発現状態の変化なら自分の乏しい知識に照らして納得する。

ツッコミを入れる

2013年05月09日 (木) [SakuraEditor]「https://sourceforge.net/p/sakura-editor/patchunicode/490/#6bce」コメント「(a - b) * alpha /256 + b」■この、片方だけ(この場合b)に立脚した比例計算が苦手だった。バランスが悪いし扱う数字が小さくなるし。今になって祟られるとはね。■それはそうと COLORREF単位で演算したいし、できても良さそうなものだけど、本当にできないんだろうか。ビット演算だけ?

ツッコミを入れる

2013年05月08日 (水) Q.なぜスマホにしないの? → ガラケー継続者「お金の問題」「自宅にパソコンあるから不要」」■9こ当てはまりましたー。ホント、スマホいらない。■俺のガラケーは、最低ランクのプラン(+誰でも割で半額)のくせに、無期限くりこしの無料通話がしょっちゅうどっかに消える状態のくせに、毎月2200円ちかくかかるから一概に安いとは言えへんけどな。>20100705p01

ツッコミを入れる

2013年05月07日 (火) 思い立ってドンドコドンをやってみた。プレイしていた当時は覚えられなかったコンティニュー倍増コマンドも指先をくるくる動かして覚えられた。いきなり44面到達(全50面。2回目は3X面まで)。コンティニュー6回では35面の分裂なすびまでが限界だったのを思い出した。1面にあった謎のキラキラが裏ステージの入り口だということを初めて知った。思い出補正か知らんけど面白い。そろそろあのアイテムが出るなっていうのが今でもわかる。■■■4回目にしてクリアした。ただし49面で死にすぎたので1回だけステートロードした。■なんか51面始まった。クリボーがメットになるくらいの変化かと思ったらほとんど違うし容赦がなくなってる。76面でゲームオーバー。■■■裏ステージ2回目。86面でゲームオーバー。

ツッコミを入れる

2013年05月06日 (月) 昔の榮倉奈々ってぐうかわいかったんやな:キニ速」■PurePure 22の弓持ってるえいくらさんのことな。見下ろされたい。これ>「榮倉 弓道

ツッコミを入れる

2013年05月05日 (日) 殻ノ少女2。「虚ノ少女」が発売されていた。■「1st original single “IGNITION” 通販予約5月4日開始!(電気式華憐音楽集団 Official Web Site)」

ツッコミを入れる

2013年05月04日 (土) 私の愛するFor文たち (27/42)」■27ページのツッコミどころwww。おいおい -asses-じゃなくて -ecess-だよーと思ってたらすぐ後で -ases-になっていた。ぼろぼろですやん。予測辞書と英和辞典を入れた ATOKを使おうぜ。(内容にも) 関数ポインタ渡しで C++を極めたとか……。無効化されるイテレータ対策は具体的だったのに……。■34ページ。Array.lengthは一番大きい添字+1を返すと思う。この場合 7。(豆知識)添字は文字列化されてArray(連想配列)のキーになるよ。■35ページ。documents.get~。なんで複数形にしたし。

ツッコミを入れる

2013年05月02日 (木) 年間10万円浮かす! 食費を節約するためのお買い物ベーシックガイド : ライフハッカー[日本版]」■全部知ってた。ひとつ付け加えるなら、レシートを見返して総額の 3割以上(※具体例として)を単独で占めてたりする品目を見つけ出して意識すること(必要か?代替は?優先順位を他にまわさなくて良いか?)。もうひとつ。空腹の時に食べ物を買わない。■昔はこうだった(20070406p02)けど今は商品を手に取るのと同時に10円単位で加算していってる。■だいたい年寄りの方がきっちりしてるもので、切り捨てによって生じた 1円単位の誤差を指摘してくれたり、手書きのメモで自分でも計算してくれてたりするのは例外なく年寄り(注:スーパーでの話ではない)。■お金の勘定を人任せにせず自分でもやってると「(俺がその人のことを)信用してない」とか言われたりしたけど、信用云々ではなくミスが混じる確率の問題。それに、あなたが封をするところまでやってくれてたら、こんな面倒なことはしていない。途中で引き渡されたから、関わってしまったから、全体を一から自分で確かめる必要が生じるのだ。■やっぱり信用してないのかもね。連帯して責任を負う(=信用する?)ことができないって言ってるんだから。■でもなんで「信用してない」と言われてそれを否定してしまうのかもわかっていて、信用できない主要な要因がその人とは関係のないところ(自分自身)にあって、誰に対しても同じことをするからだ。「(あなたを)信用してないわけではない、誰も信用してないだけだ(そしてそれがお金に関して正しい態度だと思ってる)。」というわけ。

ツッコミを入れる
最近
Generated by tDiary version 2.3.3.20091124
Powered by Ruby version 2.5.5-p157