はっきり言ってこれはとても短い投稿になります。 1月に報奨金につながる発見はないかGoogleのサービスを見ていました。その時ただのログインページであるhttps://login.corp.google.comを見つけま […]

安全で堅牢なWebアプリケーションをクラウドで開発するのは非常に困難です。それを簡単だと思っているような人は、例えばとんでもない頭脳をお持ちというなら別ですが、遠からず痛い目を見ることになるでしょう。 もしMVP(Min […]

数ヵ月前、私はGoogleマップを、もっと正確に言うとGoogleストリートビューを利用しました。Googleストリートビューは子供の頃に思い描いた未来的なテレポートみたいで、とても気に入っています。私は、普段そうするよ […]

注: 本稿は元はJSON Web Tokens(JWT)について書いたものですが、JWTはJavascript Object Signing and Encryption(JOSE)のサブセットであるため、以下の批評はど […]

DockerにはLinuxのケーパビリティを削除するためのオプションがあるのをご存じでしたか? docker run –cap-dropオプションを使うと、コンテナのルートを隔離することができ、コンテナ内でのアクセス権 […]

本記事では、私の知る最も割高なアンチパターンとなるプログラミングについて述べます。 それは、構造化されたデータフォーマットを文字列関数を使って操作することです。 以後これを”printfアンチパターン&#82 […]

セルフサービス・パスワードリセットは、多くのWebアプリケーションで共通部分になっています。通例、パスワードリセット・リンクはユーザにEメールで送られ、そこには、何らかの方法でユーザを識別する一意のトークンが含まれていま […]

2016年9月22日(木)。こんなメールが私のもとに飛び込んできました。 件名: ares_create_query OOB write c-aresプロジェクトのメンテナのひとりとして、c-aresにセキュリティ問題の […]

Pythonは、習得が容易で、より大きく複雑なアプリケーションの開発にすぐに適用していけることから、コンピューティング環境に広く普及し、勢いを強めています。ただ、あまりに明瞭で親しみやすい言語なので、ソフトウェアエンジニ […]

こんなことを想像してみてください。 あなたは大企業で働いています。仕事はかなり退屈です。端的に言えば、あなたの顔も見たくないという経理担当の3人しか使わないようなアプリケーションのために定型的なコードを書いて、才能を無駄 […]

最近、私は「セッショントークンを、cookieの代わりにWeb Storage (sessionStorage/localStorage)に保存するのは安全ですか?」ということを尋ねられました。このことについてGoogl […]

数週間ほど前にオランダのウィンデスハイム実務専門大学校で客員の講師として講義を行いました。私自身、同学校の卒業生で、恩師たちと連絡を取り続けています。最近、恩師の1人から、多くの学生がITのセキュリティとハッキングについ […]