極楽せきゅあブログ

ときどきセキュリティ

にわか管理者奮闘記

その他

http://www.atmarkit.co.jp/fsecurity/index/indexfiles/index-serial.html#beginner
ひょんなことからこないだ「にわか管理者奮闘記」の話になって、ナニゲにググってみたら反響がけっこう大きかったのを発見して感謝するやら恐縮するやら。
で、すぐに調子に乗って「これシリーズ化すりゃウケるかな?」とか思っちゃうわけですよ(爆笑)。

  • 「にわか発注元ダメダメ奮戦記」
  • 「にわか管理職奮闘記」
  • 「にわかCSO奮闘記」
  • 「にわかプログラマ奮闘記」
  • 「新・にわか管理者奮闘記」
  • 「帰ってきたにわか管理者奮闘記」
  • 「にわか管理者リローデッド」
  • 「にわか管理者レボリューション」
  • 「にわか管理者天下一武闘会編」
  • 「にわかダメダメ逸般人恐妻記」
  • 「にわか取締役謝罪の毎日」

どうかなあヽ(´ー`)ノ?
というか、この連載書いてる時って、某丸の内付近のとあるスタバあたりに集結してネタ会議とかしながら、プロットを誰かがこしらえて、文章化して、脚色して、図や教訓を議論しながら作ったりして、毎月ってのはかなり苦しかったんだけどおもしろかったんだよなー。中村くんにはやらせることをやらせ尽くした感もあったので、そろそろ終わりかなーと思って最終回にしたけどねえ。最後スーパーサイヤ人になっちゃったしなー。

オレオレ会議*1

ネタ

最近健忘症気味なんですが(何)、予定が埋まると一応ちゃんと手帳にメモしてはいます。電子的なデータとして格納しておくだけだと不安だし、紙の手帳にメモる。まあ自分的にはこれが一番早いし確実ですね。
しかし、こないだついうっかり会議で予定が埋まったのを書き忘れてしまって、しかもそのときはけっこういろいろ話題が立て込んでいたために、何の会議だったのか忘れてしまったんですよね。情けないことにきっかけすら思い出せない。
仕方なく受信メールなどでいろいろ探してみても、それらしき情報が見当たらない。いつの何時かすらうろ憶えで、なんとなく15時とかいうキーワードだけ憶えていたのでそれを食わせて検索しても、山ほど雑多な情報がヒットして出てくるだけ。
仕方がないので心当たりがありそうな人にメールして、恥を忍んで聞いてみる。
「あちきと会議する予定ありませんでしたっけ?」←(このセリフ、なんか人として終わってるよね(爆笑))
ってもちろん、手元にある情報では会議の予定が無い方面に聞いたんだけど、「あ、あるあるそれ。会議でしょ。それオレオレ」とか言いつつ「で、いつにしましょうか?」とか反応してきたりしちゃうんですよ(笑)。「いつにしましょうか?」ってそれ予定入ってねえだろ(笑)。
そんなこんなで会議が二つばかり増えてしまったのでした。
いやあ、何て言うか、リマインダって大事だよね(笑)。

吉野家コピペ*2(Special Thanx to Mr. A.A.L. and Mr. R.U.O.)

ネタ

そんな事より1よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。
こないだとあるサイトのSQLインジェクション脆弱性、エラー画面出てて丸見えだよーんってのを届け出たんですよ。IPAに。
そしたらなんかSQLインジェクションはもともと対応してるし、エラー画面出てるのも別にいいぢゃんとかって答えが来ちゃったんですよ。
で、どうしましょうか?とかIPAに言われたのでソースとかよく見たら、いきなりなんかXSS脆弱性とかあるんですよ。
もうね、アホかと。馬鹿かと。
お前らな、XSSあるサイトってことはマトモに記号処理なんかしてるわけねーじゃねーかよ、ボケが。
XSSだよXSS
しかもものすげー初歩的なヤツ。もう見てらんない。
お前らな、クッキー見せてやるからそこどけと。
Webサイトってのはな、もっと殺伐としてるべきなんだよ。
生半可なXSSなんかぶち込まれた日にゃあいつ喧嘩が始まってもおかしくない、
刺すか刺されるか、そんな雰囲気がいいんじゃねーか。Webアプリ素人は、すっこんでろ。
で、やっとメールに応答があったかと思ったら、XSSはあるかも知れませんがSQLインジェクションはもともと対応してます、とか言ってるんです。
そこでまたぶち切れですよ。
あのな、どういう考え方したらSQLインジェクションだけ対応してセキュリティ対策終了できんだよ。ボケが。
得意げな顔して何が、もともと対応してます、だ。
お前はそもそも本当にWebアプリわかってんのかと問いたい。問い詰めたい。小1時間問い詰めたい
お前、対応してますと言い張りたいだけちゃうんかと。
Webアプリ通の俺から言わせてもらえば今、通の間での最新流行はやっぱりajax、これだね。
テンコモリajax+Writely。これが通の実装方法。
Writelyってのは広告が多めに入ってる。そん代わり機能が少なめ。これ。
で、それにセキュリティ対策(javascriptオフ)。これ最強。
しかしこれを設定すると次から何も表示されないという危険も伴う、諸刃の剣。
素人にはお薦め出来ない。
まあお前、1は、PHPでも食ってなさいってこった。