運営者情報

運営してるひと: @sters9

       

妻と猫と横浜あたりに住んでいる。最近は Go や Kubernetes や GCP をしています。 PHP や JavaScript もすこし。

プライバシーポリシー

tools.gomiba.co

アーカイブ

2021/01 (4)

2020/05 (2) 2020/04 (2) 2020/02 (2) 2020/01 (1)

2019/12 (3) 2019/11 (2) 2019/10 (5) 2019/09 (3) 2019/07 (6) 2019/06 (4) 2019/04 (3) 2019/01 (2)

2018/12 (6) 2018/10 (4) 2018/09 (6) 2018/08 (7) 2018/07 (16) 2018/06 (7) 2018/05 (7) 2018/04 (5) 2018/03 (3) 2018/02 (10) 2018/01 (6)

2017/12 (8) 2017/11 (6) 2017/10 (10) 2017/09 (12) 2017/08 (16) 2017/07 (3) 2017/06 (1) 2017/01 (4)

2016/12 (5) 2016/10 (3) 2016/09 (1) 2016/07 (2) 2016/06 (1) 2016/04 (1) 2016/02 (1) 2016/01 (2)

2015/12 (1) 2015/10 (1) 2015/09 (3) 2015/06 (1) 2015/01 (1)

2014/08 (2) 2014/07 (3) 2014/05 (1) 2014/01 (7)

2013/12 (2) 2013/11 (4) 2013/10 (1) 2013/09 (1) 2013/08 (3) 2013/07 (4) 2013/06 (5) 2013/05 (2) 2013/04 (7) 2013/03 (1)

Mini #seccamp in Yokohama で喋ってたことへの補足とか

この記事は公開されてから1年以上経過しており、情報が古くなっている可能性があります。

○全体的

・高橋メソッド もどきですが。。 文字でっかく1枚に少なく、にしたらすごいサクサクつくれたので、今後も試してみたい。 高橋メソッドについて

・ネタ画像 知ってるネタはググって入れたけど、どこから探すんだろう。 Tumblerをめぐりとかで出てきそう。

・フォント メインでつかってたフォントは「ゆたぽん(コーディング)」 ゆるふわ感がありつつも、見やすさが程よくお気に入り。

一部コード関係のフォントは「Migu 1M」 手元のエディタなんかは大体このフォントにしているくらいのお気に入り。


○1回目

・自己紹介 夏キャンプのときは「ごみばこの人」「ごみばこいん」とかで参加者に知られてました。 卒論の影響もあって、JSばかりですが、お仕事はサーバ側(PHP/Java)もやります(やってます) CTFとか書いてありますが、ガチじゃないです。 ksnctf とか akictf とか Flaggers とか

この前のCSAW CTFに参加したものの、まったく旗取れず知識・技術不足、カンの弱さを実感。 SECCONは名古屋追加募集があるとかでいけるのかしら…(枠じゃなくて、僕の都合が大丈夫かーとか)

・DOM Based XSS IPAのレポートをみるとよいかも。 IPAテクニカルウォッチ 『DOM Based XSS』に関するレポート

急増してるとあるものの、脆弱性の報告や問題視は昔からある。 jQueryマシマシや、スマホなど、jsの活躍場所や表現力、ライブラリなどががグワッと伸びた結果、 こうなってるとおもう。

HTMLエスケープを施す、が対策になるが、DOMから拾うのが安心安全。 Twitter / bulkneets: そもそも出力時に自動エスケープすべきだしその前提にたったとき … Twitter / ockeghem: プログラムとコードの分離という観点、およびCSPの対応という …

じゃあどうやるの?

function escape(str){
var e = document.createElement(‘div’);
e.appendChild(document.createTextNode(str));
return e.innerHTML;
}

つぶやくボタンを例にだしたのは、例示でよく見かけたため。 ちょっと前にも、わりと大手サイトのつぶやくエリアが無法地帯だったとの話も聞きます。

・コミットログが2つしかない件 少なくとも、自分でだいたいいいかな、まで書いたところ、コードの見やすさが最高にクソかったので、 書き直しとか設計見なおしも含めてaltJSに移行しているリポジトリです。 元のリポジトリは50くらいでした。


○2回目

にゃんぱすー( ‘△’)/

・経緯 1日目終わった後にまっちゃさんが「見てなかったのでもう一回ね」ということで。

・ネタ 面白さ的に以前参加した残パン会でやったやつがいけるな、と。 Befunge - Wikipedia 残パン会に参加してきました。 残パン会#3にいきました https://github.com/sters/zanpan

・Befungeについて要約 二次元的にコードを書く プログラムカウンタ?ポインタ?が縦横に動くことができる 自己改変機能がある Befunge-93は広さの制限がありチューリング完全ではない Befunge-98は任意次元の拡張とかよくわからない定義がある(理解してないし資料を読んでもいない)

・デモについて jsで書いたBefungeインタプリタ。 ブレークポイントが貼れてステップ実行できたりしてどうのこうの。 後日、丸々書き直しをしている。

チャットは残パン会でつくったもの。あの時はちゃんと動いてたはずなんだが….

サーバ側はPHP/MySQLで飛んできたデータをしまうか、Befungeで扱いやすいフォーマットで返すだけ。 認証機構なんてなんにもない。

クライアント側をフルBefungeで作ったという話。 ただし、通信周りを一から書くのは謎いので、命令を追加している。 入室、発言、取得。

・しゃべりたかったこと いろんな時代を経て進化してきたプログラミング言語もいいですが、esolangという世界もあります。 いろいろ楽しい、面白いので覗いてみましょう

はろーわーるどかいたよー^^って言って縦横に記号並んでたら面白いでしょ?

複雑なesolangだとそもそも実装が少なかったりするので、そういったことにチャレンジするのも、ね。


というあたりで。