実際とは?/ ノーローン
[ 192] 実際にネット上に住所や電話を晒してみるとこうなった : ロケスタ社長日記
[引用サイト] http://blog.livedoor.jp/kensuu/archives/50335667.html
|
収入を隠す利点が分からないというエントリーはてなで人気なので読んでみたのですが、昔からよく思ってたことをよくまとめてくれていて、すっきりした気分に。 このブログのエントリーを書いた方は電話番号もさらしていますが、おいらも電話番号や住所を晒していた時期がありました。結論から言うと、メリットもデメリットもほどほどにあったけど、総括して見ればたいした影響はなかったというところです。 2chのひろゆき氏から「はじめまして、ネットを見て電話をしました。友達が事故で入院したのですが、性器に管が入っていてとてもおもしろいので見に来ませんか」(意訳)と電話があったこと。そこから私のネット人生が大きく変わりました。 →街宣車をお前んちによこすぞゴルァ!と言われたので、是非お願いしますと伝え、住所をお伝えしたのですが来ませんでした。催促の電話をかけてみてもそのうちいくの一点張りでした。そのうち仲良くなってきて「右翼も大変なんだよ」という愚痴を聞かされました。 →警察に追われているんだ、私は盗聴されている、と思いこんでいらっしゃる女性の方からの電話が頻繁に。警察行ってくださいと行っても聞かないので、着信拒否にしました。 というわけで、結局あんまり生活に影響がないなぁ、というのが感想です。今は公開やめちゃいましたが、検索すると出たりでなかったりするみたいです。 その点、給料なんて公開しても何も影響がないという意見はごもっともだと思います。しかし本当に怖いのは知らない人からの攻撃ではなくて、知っている人からの微妙な嫉妬とかだったりするのかも、、、 英国北東部ダラムに住む17歳の少女が、両親不在の間、家でパーティーを開こうとインターネット上に書き込みをしたところ、酒やクスリに溺れた見知らぬ若者... 英国北東部ダラムに住む17歳の少女が、両親不在の間、家でパーティーを開こうと インターネット上に書き込みをしたところ、酒やクスリに溺れた見知らぬ若者たちが200人ほど押しかけ、家をめちゃくちゃにしていったという。現金などが盗まれたほか、電灯が割られ、スプレーで したらば(現ライブドアしたらば)元社長のけんすうさんのブログで、こんな記事が...。 実際にネット上に住所や電話を晒してみるとこうなった::したらば元社長日記デメリット有り過ぎと思うのは私だけ? たしかに私が知っている人で某ちゃんねるに電話番号と住所をさらされた人がいたけど、まったく何も被害がなかったとか言ってましたね。 友達含めてドメインの公開情報で電話も晒してるけどそれっぽい電話なんかかかってきたことないし、普通の生活してるひとには影響なさそう。 独自ドメインで運用していたブログは何度か嫌がらせ的な書込みがありましたが、ドメインの公開情報まで調べて嫌がらせをするような輩はどうやらいないようです。 でも、何もないと思っていてもやっぱりみんなが普通に見ているブログで収入だとか電話番号を晒すのは直感的に恐さを感じてしまうんですよねぇ。 結論が主観的であったとしても影響がなかったからどうなのかという、そのあとの重要な部分が書かれていない。 誰もがこの記事から管理者の本当の結論を推測すると、「個人情報が晒されてもたいした影響はないから大丈夫だ、世間で騒がれているほど心配することはない」となるだろう。 ここで晒している個人情報は企業が公開している情報とほぼ代わりがないためそれほど彼には影響がなかったのだろう、また、彼がとても時間に余裕があったこともこの結論に至った要因といえるだろう。 結論が主観的であったとしても影響がなかったからどうなのかという、そのあとの重要な部分が書かれていない。 誰もがこの記事から管理者の本当の結論を推測すると、「個人情報が晒されてもたいした影響はないから大丈夫だ、世間で騒がれているほど心配することはない」となるだろう。 ここで晒している個人情報は企業が公開している情報とほぼ代わりがないためそれほど彼には影響がなかったのだろう、また、彼がとても時間に余裕があったこともこの結論に至った要因といえるだろう。 結論が主観的であったとしても影響がなかったからどうなのかという、そのあとの重要な部分が書かれていない。 誰もがこの記事から管理者の本当の結論を推測すると、「個人情報が晒されてもたいした影響はないから大丈夫だ、世間で騒がれているほど心配することはない」となるだろう。 ここで晒している個人情報は企業が公開している情報とほぼ代わりがないためそれほど彼には影響がなかったのだろう、また、彼がとても時間に余裕があったこともこの結論に至った要因といえるだろう。 ロケットスタートという会社をやっています。ミルクカフェの管理人もやっています。だらだらとしたWebコンテンツ作成屋です。 |
[ 193] 【PHPカンファレンス2006】PHPで書かれた実際のアプリケーションに潜む危険なコード:ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/article/NEWS/20060821/245977/
|
「(PHPで書かれたアプリケーションには)アバウトなコードが多い」。エレクトロニック・サービス・イニシアチブの大垣靖男社長は,2006年8月19日に開催されたPHP関連イベント「PHPカンファレンス2006」の講演「危険なコード」で,PHPで書かれたアプリケーションに存在する危険なコードを指摘した。講演の中では,実際に存在するアプリケーションの名前を出し,そのソースコードからセキュリティ上危険な個所を挙げていった。「安全なコードを書くには悪い例も知っておかなければならない」というのが同氏の主張である。 大垣氏はまず,「セキュリティのリスクはサブシステムとの境界の部分で発生する」と指摘した。サブシステムとは,データベース,メール・システム,ユーザーのWebブラウザといった外部のシステムのこと。「境界で入力時にきちんとバリデーション,出力時にきちんとエスケープ処理(フィルタリング)を行えば,かなりのセキュリティ・ホールは防げる」(大垣氏)。 例として取り上げたアプリケーションは,オープンソース・ソフトウエアの配布に使われているSourceForge.netで,おおむねトップ30から50までの間にあるものから選んだという。「上位のアプリケーションを選ぶと,問題があるアプリケーションを探すのが大変かもしれない」(大垣氏)という理由からである。ソースコードはすべて8月13日時点でリリースされていたものを使用した。 ただし,大垣氏は「すべてのアプリケーションを実際に動作させたわけではない」と語る。また「正式な検証作業」でもないという。ソースコードの一部しか読んでおらず,また,すべてのぜい弱性の可能性を検証しているわけではないからだ。「危険なコード=セキュリティ・ホール」ではない点にも注意が必要である。コードにぜい弱な部分があっても,その部分を攻撃できる経路がなければセキュリティ・ホールにはならない。この発表の目的はあくまで「危険なコーディングと安全なコーディングを知ること」である。加えて「よく使われているアプリケーションにも危険なものがある」ことを理解するという意味もある。「個人レベルで自己責任の範囲で使うならいいが,顧客のシステムでPHPアプリケーションを使う場合には,きちんとソースコードの中身を検証しなければまずいことがあるという点を理解してほしい」と同氏は強調した。 なお,この記事ではソフトの名称は匿名とする。大垣氏の発表の目的が特定のアプリケーションに対する揚げ足取りではないこと,名前の挙がったアプリケーションさえ使わなければ安全だという誤解が生じる可能性があること,Webの記事は不特定多数が見ることができるため問題を実際に悪用される危険性があること,といった理由からである。 大垣氏が最初に取り上げたのは,あるイベントリ管理ソフトウエア。こうしたシステム管理者向けアプリケーションは,セキュリティ対策がずさんなことが比較的多いという。システム管理者が自分のために作っていることが多く,「データベースに対してフルアクセスできて当たり前」という感覚でコードを書いてしまうからだ。 まず,未検証のユーザー入力値をそのままクエリーとして実行している部分があった。実際には,安全に実行できるようエスケープ処理が必要だ。そうでなければSQLインジェクションができてしまう。他の例では,POSTのキーの要素名をクエリーに利用していた。入力値だけでなくキーの要素名も検証の必要がある。また,POSTの値をそのままWebブラウザに返している部分もあった。この場合は,JavaScriptのコードを埋め込むことで実行できてしまう。セッションIDをブラウザで表示している部分は,古いPHPだと危険だという。中には,POSTの値をクエリーに利用し,しかもその結果をブラウザに表示している部分もあった。 またPHPのコードを埋め込むために「<?」(ショートタグという)を利用していたのも問題だという。ショートタグはデフォルトでは有効だが,オンオフを切り替えられる。オフに設定していたサーバーでは,ソースコードが見えてしまうことになる。ショートタグではなく「<?PHP」というタグを使うのが鉄則だ。 大垣氏によると,このアプリケーションは「潔くSQLインジェクション対策は一つもしていなかった」という。「管理者が使うもので,一般に公開するべきものではないのでSQLインジェクションできてもいい」と考えたか,「全く気にしていない」かどちらかではないか,というのが同氏の見解である。 大垣氏はほかにも多くの例を用意していたが,結局,時間切れで全ては紹介しきれなかった。裏を返せば,ぜい弱なアプリケーションはそれだけ多いということだ。同氏は最後に「ぜい弱性が発生する原因とリスクを正しく理解することが一番大事」と語った。「こんな書き方がダメだ」という今回のプレゼンテーションだけを見て理解したつもりになってはだめだという。「原因と何が起こるかを理解していれば,安全なコードが書ける」というのが結論である。 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
[ 194] 実際に買って読んだPHPの参考書レビュー
[引用サイト] http://zapanet.info/blog/item/994
|
「初めて学ぶWebプログラミング言語は何が良い?」に続いて、実際に買って読んだPHPの参考書のレビューを載せておきます。 読んでいない本のレビューをすることはできないので、実際に買って読んだ以下6冊のPHPの参考書のレビューにプラスして、PDFでダウンロードできる本、Webマニュアルのレビューを書きました。 個人的な意見も含まれていますが、一人のレビュアーが複数のPHPの参考書レビューを載せているページはあまりないと思いますので、少しでも参考にしてもらえれば幸いです。 昔は、他の一般的な本に比べて高すぎるので買うのをためらったりしてる時期もありましたが、最近では気になった本はすぐにAmazonで注文しています。 しかし、インターネットの情報は断片的であることが多く、体系的に学ぶにはやはり1冊の本を通して読んだ方が効率的で、結果的に時間の短縮になります。 自分が1時間当たりに消費する時間がいくらに当たるかを計算すると、本を購入するかどうかの目安が立てやすくなります。 例えば1時間当たり1000円の価値がある人なら、参考書を購入したことにより結果的に3時間以上の時間短縮につながればプラスになったことになります。 逆に100円程度の価値の人なら、30時間以上短縮できないといけないので、ネットでゆっくり検索しながら学ぶのもありだと思います。 本を読んだ後にできあがった成果物の出来映えを判断基準にしないで、勉強時間・開発期間の短縮に目を向けるところがポイントです。 いきなりMySQLを使ったデータベースアプリケーション作成の解説が始まり、DBとクラスを利用した掲示板の作成、smartyを使ったスケジュール管理アプリケーション作成にまで進んでいきます。 初心者向けの参考書だったはずが、「DB、クラス、掲示板、テンプレートシステム」まで飛躍してしまっているため、初心者には理解に苦しむ仕上がりとなってしまっています。 PHPの各種文法や簡単なWebアプリケーション作成までに絞って解説すればもっと良い本になると思いました。 「PHP5であなたもウェブアプリが作れる!」では、アクセスカウンタ、cookie処理、画像作成・表示、写真読み込み・表示、アンケートシステム、簡単日記、パスワード管理、スケジュール帳、アクセスログ、ブログシステム作成と一般的に使いそうなウェブアプリの解説が載っています。 ブログエントリを投稿して表示させるくらいまでは一応作りましたが、コメントの受付、Pingの送信、トラックバックの送受信、RSSの作成、DB設計などが面倒になって結局完成には至りませんでした。 「PHP5であなたもウェブアプリが作れる!」は、PHPを使ってどのようにウェブアプリを作成するのか勉強したいときにはとても役立つと思いました。 コメント:PHPを使ったウェブアプリ作成の手順を学びたいときに最適。初級者から中級者を目指す人向け。他の言語をマスターしている人が、PHPの構文などについてだけ学びたいときには、あまり向いていない。 コメント:個人的には全くおすすめできない本です。Amazonでの評価は高いので、役に立つ人には役に立つのかもしれません…。 PEARにはどんなライブラリがあって、どのように利用するのか理解でき、Webアプリ作成の手助けになるとばかり思っていたのですが…。 PEAR::Authのソースコードを読んで、バグの原因を調べたところ、DB処理の部分で余計な文字列が入ってうまくいっていなかったので、自分で修正してみたところ動くようになりました。 本に「ラクラクフォーム作成」と書かれている割には、混雑したプログラミングが必要だということがわかりました。 コメント:PEARのライブラリは更新が早い部分もあるので、最新のWebマニュアルを見た方が良い。思っていたよりもPEARの各ライブラリの完成度が低いと感じたため、PEARに頼らないで自分でコーディングした方が良いかもしれない。 オライリーの本だし、「Hacks」と付いているくらいだから、それはそれは素晴らしいテクニックが掲載されているだろうと思っていました…。 「Wikiの構文をサポートする」などの興味を持てそうな節もありますが、「日本語には対応していません」と書かれていたり、日本人が扱うにはやや中途半端な部分もあります。 テクニックを紹介しているだけなので、サンプルコードをそのまま使うと危険な部分もあります。(GETで取得した値をそのまま表示したりしています。上級者を対象にしているため、いちいち書いていないせいだとは思いますが、そのまま利用してしまうのは危険です) 「目次」を見て参考にしたい節がたくさんある人、ネットで調べてもわからない人、まとめてテクニックを読みたい人にはオススメできると思います。 コメント:PHPのテクニックを学べる本。一般的なテクニックも多く、実際に参考にできる部分はあまり多くないかもしれない。「目次」を見て参考にしたい節がたくさんある人、ネットで調べてもわからない人、まとめてテクニックを読みたい人にはオススメ。 本の存在自体は知っていましたが、「いまさら基本のサンプルを学ぶなんて…」と思って買っていませんでした。 この前、PHPプログラムを始めてみたい、難しいと思っている人の為にでこの本が紹介された時は、自分でも納得してしまいました。 章ごとに分けられたページ構成、内容が丁寧、ページが見やすい、全420本のサンプルコード付きで至れり尽くせりの内容です。 最初に50ページくらい、初心者向けのプログラミング言語としての解説が加わっていたとしたら、プログラミングを知らない初心者から上級者にまで勧められる完璧な本になっていたと思います。 (実際はプログラミング言語の解説としては不十分な部分もあるため、ある程度プログラミングの知識がないと少し辛いと思います) 一度ざっくりと目を通してPHPで何ができるかを学んだ後、あとは逆引きで必要になった機能を調べるという使い方がオススメです。 コメント:「PHPを勉強したいのであれば、まずは買っておけ」と言い切ってしまっても良いくらいの良解説書。勉強用にも逆引きのリファレンスとしても使えて便利。 公式サイトでは重くやや読みづらかったので、自分でスタイルシートを設定してコンパイルしたものを「PHP マニュアル」に置いてあります。 PHPの実行環境だけでなく、マニュアルまで整備され、日本語に翻訳され、しかも全て無料で本当に感謝しています。 Webマニュアルを読むだけで、PHPが勉強できるということはあまり一般に知られていないようなので(自分も最初は知りませんでした)、知らなかった人は「PHP マニュアル」の存在を覚えておくと良いと思います。 コメント:Web上で無料で読めるPHPマニュアル。PHPの設定やインストールを始め、構文解説や関数リファレンスなどの最新版を読むことができる。このマニュアルさえあれば、PHPの参考書は必要ないかも? どの本もある程度プログラムについてわかっていることが前提となっているところが、多少残念なところです。 結局のところ、本当のプログラム初心者がいきなりPHPを始めるのに適した本はまだ無いのかもしれません。 変数、配列、データ型、制御文、演算子、関数などについて良くわかっていないのであれば、他のプログラミング言語入門を参考にした方が良いと思います。 興味のある方は、初めて学ぶWebプログラミング言語は何が良い?にも書いたように、まずは何かしらのプログラミング言語の勉強を始めてみるのが良いと思います。 PHPはC言語に似ていますが、型宣言、ポインタなどの初心者がつまづきやすい部分を気にしなくてもプログラムすることができるので、比較的学びやすい言語です。 |
ノーローンのサイトです。
