検索

• [ Prev ]
• [ Next ]
• [ 技術 ]

ViewStateの参考情報リンクメモ。

日本語：

• ASP.NETの状態管理：ビューステート／クッキー／セッション情報 － ＠IT
  • http://www.atmarkit.co.jp/fdotnet/bookpreview/learnaspnet_0701/learnaspnet_0701_01.html
• ＠IT：連載：プログラミングASP.NET　第15回　セッションとビューステート
  • http://www.atmarkit.co.jp/fdotnet/aspnet/aspnet15/aspnet15_03.html
• ASP.NET のビュー ステートの理解
  • http://msdn.microsoft.com/ja-jp/library/ms972976.aspx

英語：

• Understanding ASP.NET View State
  • http://msdn.microsoft.com/en-us/library/ms972976.aspx

個人的にはMSDN英語版の "Understanding ASP.NET View State" が一番有用で分り易かった。ASP.NETのページ処理のLifeCycleをまず解説しており、全体像を把握できるように配慮されている。

ViewStateを介したXSS攻撃：

• Dailydave: XSS in viewstate
  • http://seclists.org/dailydave/2010/q1/64
• Trustwave's SpiderLabs Security Advisory TWSL2010-001: Multiplatform View State Tampering Vulnerabilities
  • https://www.trustwave.com/spiderlabs/advisories/TWSL2010-001.txt
• Beware of Serialized GUI Objects Bearing Data
  • https://www.blackhat.com/presentations/bh-dc-10/Byrne_David/BlackHat-DC-2010-Byrne-SGUI-slides.pdf

セキュリティ上の対処としては以下の2点に尽きる。

1. MACを有効にする。
2. 暗号化を有効にする。

FiddlerとそのPluginであるWatcherを使うと、MACが有効か自動判定してくれるようだ。実際に手許で動かしたわけでないので、未確認情報。

• 【ハウツー】FiddlerとWatcherでWebサイトのセキュリティをチェックする (1) FiddlerとWatcherのインストール | エンタープライズ | マイコミジャーナル
  • http://journal.mycom.co.jp/articles/2010/04/21/fiddler/index.html

• [ Prev ]
• [ Next ]
• [ 技術 ]

2000年に購入した冷蔵庫が壊れた。11年動きつづけた。冷蔵庫ってやっぱり10年は同じの使い続けるよな・・・。

そして、処分がそれなりに面倒くさいという罠。

買い替えで引き取ってもらうのも有りなんだけど、もともと今のアパートに備え付けの小型冷蔵庫があり、別に自炊するわけでもないのでそれで問題なく収納できてしまい、ならわざわざ新しいのを購入する必要もないだろうと。

とはいえ民間業者に頼むと、お役所経由の2-3倍の値段になってしまうので、別に急ぎでもないのですなおにお役所経由の手続きをする予定。

ものを捨てるにもお金のかかる時代。

「寒い時代だと思わんか？」

どれくらいあるのか、簡単に漁ってみました。

こんなところかなぁ。

インターネットは関係ないけど、とりあえずプロトコルっぽいもの：

どうしても「あのプロトコルが使いたい！」ってゆーのがあれば、TCPとUDPはjava.netがあるので、Javaの世界の既製ライブラリを移植するなり、自分で頑張って実装するなり、という流れになると思う。

参考：

• Geekなぺーじ : RTP(Realtime Transport Protocol)
  • http://www.geekpage.jp/technology/rtp/
• Real-time Transport Protocol - Wikipedia
  • http://ja.wikipedia.org/wiki/Real-time_Transport_Protocol
• FeliCa/NFCの概説とAndroidの対応状況
  • http://www.slideshare.net/somafire/felicanfcandroid-6538882
• どうなるNFC？どうするFeliCa？ - 開発の現場から--- Android Developer Lounge：ITpro
  • http://itpro.nikkeibp.co.jp/article/COLUMN/20110518/360422/
• メディア転送プロトコル - Wikipedia
  • http://ja.wikipedia.org/wiki/%E3%83%A1%E3%83%87%E3%82%A3%E3%82%A2%E8%BB%A2%E9%80%81%E3%83%97%E3%83%AD%E3%83%88%E3%82%B3%E3%83%AB
• Taosoftware: Android SMS（ショートメッセージサービス）の送受信
  • http://www.taosoftware.co.jp/blog/2009/06/android_sms.html

• [ Prev ]
• [ Next ]
• [ 技術 ]

テストの自動化メモ。

JUnit + Instrumentation

Android上でのActivityTestの基本。Javaのinstrumentと同様、仮想マシンとクラスの間にインターセプト出来る。
android.testパッケージ以下にinstrumentを使ってUIを操作「したことに」して各種Testを実行可能なクラスが用意されている。

• Instrumentation | Android Developers
  • http://developer.android.com/reference/android/app/Instrumentation.html
• TestとInstrumentation - 日本Androidの会 | Google グループ
  • https://groups.google.com/group/android-group-japan/browse_thread/thread/d37f72e7d1ce0b80
• しずくくんのAndroidでゲームプログラミングしてみたいなblog : Android開発でJUnit導入してみる。 その3 Activityのテスト自動化コードでの重要ポイント
  • http://blog.livedoor.jp/shizuku_kun/archives/51574481.html

Robotium -> scirocco

PowerMockを開発しているJaywayが、その有り余るHENTAI性をAndroidのUIテストの自動化に注ぎ込んだのがRobotium。
"Android開発におけるSelenium"を目指しており、UI部品の内容に対するexpectationを記述や複数Activityにまたがるテストを簡単に記述できる。
個人的には、あのJaywayがメイン開発に携わっていることから将来性も高いと感じる。

• robotium - It's like Selenium, but for Android™ - Google Project Hosting
  • http://code.google.com/p/robotium/
• RobotiumでAndroidアプリのシナリオテストを自動化する - 遙かへのスピードランナー
  • http://d.hatena.ne.jp/thorikawa/20101019/p1

Robotiumによる自動化テストで、画面のキャプチャなどもまとめて取得できるよう、特にチーム開発での運用面をサポートするツールとしてsciroccoが公開されている。
こちらは日本にあるSONIXという会社が開発している。

• scirocco - A UI Test Automation Tool for Android - Google Project Hosting
  • http://code.google.com/p/scirocco/
• AndroidのUI自動テストツール Scirocco 触ってみた。 - しかじろうがプログラム作るよ！
  • http://d.hatena.ne.jp/re_shikajiro/20110531/1306848452

nativedriver

Googleが開発したUIテスト自動化ツール。Seleniumで使われているWebDriverと類似のAPIでUIをテストできるようになる。Robotiumの競合に位置づけることが出来る。
nativedriverの場合、テスト対象のアプリ側にテストサーバ機能を持つ専用のjarファイルを追加するなどが必要。とはいえ、アプリ側のロジックに副作用が出るような形はさすがにとっていない。
マルチプラットフォーム対応を目指しており、既にAndroidに対応しているが近日中にiOSにも対応予定。Windowsも視野に入れている。

• nativedriver - Native application GUI automation with extended WebDriver API - Google Project Hosting
  • http://code.google.com/p/nativedriver/

Jython経由でmonkeyrunner

デバッグ機能を使ってUIを操作する・・・らしい。

• monkeyrunner | Android Developers
  • http://developer.android.com/guide/developing/tools/monkeyrunner_concepts.html

ただしタップイベントなどを x, y の座標値で指定する必要が有るため、実用は難しいかもしれない。

ちなみに、InstrumentationとRobotiumは2011-06時点では「再生」だけで「記録」機能が無い。
一方、monkeyrunnerにはドキュメント化はされていないが MonkeyRunner Recorder という機能が隠されている。

• MonkeyRunner Recoder - Hack the World!
  • http://d.hatena.ne.jp/graceful_life/20110305/1299323561

これを使うとRecorderを一種のUI操作Proxyとして、あとでmonkeyrunnerで実行出来る形式のpythonスクリプトでUI操作を保存できる。

ただしmonkeyrunnerでは操作した結果を取得する機能が画面snapshotの取得しか使えない。プログラムで画面UIの変化を検出する機能が存在しない。
この点が、UIテストの自動化に組み込むにあたりデメリットになるだろう。

• [ Prev ]
• [ Next ]
• [ Up ]
• [ 技術 ]

• [ Prev ]
• [ Next ]
• [ 技術 ]

自分用メモ：

• セッション識別子に重要情報を紐付ける時に、「格納前のセッション識別子を無効化＋新しいセッション識別子を発行」処理を行っていないとセッション固定化に脆弱。
• 「セッション識別子」は複数のCookieやFormPOSTパラメータの組み合わせの場合もある。セッションを引き継ぐパラメータのセットとして考え、どれか一つでもずれれば引き継げないとすれば、セットに含まれる全てのパラメータが変化しないのであれば脆弱、どれか一つでも格納前後で無効化＋更新されるのであれば問題とならない。
  • 攻撃者はセットに含まれる全てのパラメータを被害者にセットし、重要情報がセッション識別子に紐付けられた後も、セットに含まれる全てのパラメータが同じでないと、被害者と同一のセッションを維持できないと考えられるため。（どれか一つでも不正であればログイン画面にリダイレクトされる、等）
• 「重要情報」の最たるものが「識別情報」なので、主に話題となるのが「認証前後のセッション固定化」となる。認証前の画面フローであっても、メールアドレスや住所など重要情報をセッション識別子に紐付ける場所があれば、セッション固定化問題の対象範囲となる。
  • 金床本では「セッションの持つ価値が変化するすべての場面でセッションIDを変更する。」(p171)という解説をしている。

対策については参考資料を参照。

参考資料：

• Session Fixation - OWASP
  • https://www.owasp.org/index.php/Session_Fixation
• Session Fixation - the Forgotten Vulnerability?
  • https://www.owasp.org/images/7/7a/OWASP_AppSec_Research_2010_Session_Fixation_by_Schrank_Braun_Johns_and_Poehls.pdf
• 2011-06-06 - penultimate diary
  • http://d.hatena.ne.jp/penult/20110606
• 2010-04-24 - T.Teradaの日記
  • http://d.hatena.ne.jp/teracc/20100424
• とくまるひろしのSession Fixation攻撃入門 - ockeghem(徳丸浩)の日記
  • http://d.hatena.ne.jp/ockeghem/20090130/p1

Session Adoptionについて：

• 金床本、徳丸本ともにSession Adoptionはそれほど危険視していない。大垣氏のBlogでは随分と危険視されている。
  • 金床本、徳丸本はあくまでもアプリケーションレイヤーだが、大垣氏はPHPという言語環境のレベルで捉えているための温度差もあるかもしれない。
  • Session Adoptionがあるとしても、攻撃者がサーバから発行されたセッション識別子を取得するための一手間を減らすだけであり、Session Fixationに対する影響度は小さく、Session Fixation対策をしておくほうが優先度も高く、アプリケーションレイヤーで対策できるため、自分でPHPにパッチあてたりミドルウェアやフレームワークを修正するよりははるかに現実解として無難な落とし所と言える。

参考：

• Session Adoption in Session Fixation
  • http://www.ntt.com/icto/security/images/sr20100110.pdf
• PHPのSession Adoptionは重大な脅威ではない - ockeghem(徳丸浩)の日記
  • http://d.hatena.ne.jp/ockeghem/20090515/p1
• PHP:既知のセキュリティ脆弱性 - Session Adoption
  • http://blog.ohgaki.net/php-session-adoption

• [ Prev ]
• [ Next ]
• [ 技術 ]

仕事中、FormやCookieのkey名に"="を含めたらどうなるのだろう？という話題が出た。

<input type="text" name="foo=bar" value="" />

や、

Set-Cookie: foo=bar=baz

の時、どんな挙動がみられるのか？

ということで、FormとCookieのそれぞれについて、最初にRFC上での"="の扱いについて調べ、続いて実際に動作を確認してみたメモ。

• [ Prev ]
• [ Next ]
• [ 技術 ]

WebSocket関連のメモ。

• WebSocket - Wikipedia, the free encyclopedia
  • http://en.wikipedia.org/wiki/WebSocket
• HTML5に追いつこう！Pure JSでWeb Socketsを動かしてみる - Born Neet
  • http://blog.bornneet.com/Entry/267/
• WebSocketでリアルタイムWeb
  • https://docs.google.com/present/view?id=dddvzhrc_3frv8djhr&pli=1

TCPレベルでのプロトコルを定めたのが"The WebSocket protocol"で、これはIETFで策定している。
継続してバージョンアップしており、2011-08現在は HyBi-10 という略称(Hypertext-Bidirectional)のバージョンが最新。

• draft-ietf-hybi-thewebsocketprotocol-10 - The WebSocket protocol
  • http://tools.ietf.org/html/draft-ietf-hybi-thewebsocketprotocol-10

一時期仕様上のセキュリティ問題が見つかっており、Firefox4やOpera11でデフォルト無効にされたこともあった。

• こてさきAjax:WebSocketがデフォルトdisableとなった件 - livedoor Blog（ブログ）
  • http://blog.livedoor.jp/kotesaki/archives/1600864.html
• The Dangers of HTML5: WebSockets and Stable Standards | HTML5 | HTMLGoodies
  • http://www.htmlgoodies.com/html5/the-dangers-of-html5-websockets-and-stable-standards.html

そして実際にJavaScriptから使用できるAPIのインターフェイスを定めたのが"The WebSocket API"となり、W3Cで策定している。

• The WebSocket API
  • http://dev.w3.org/html5/websockets/

基本的に開発者は"API"の方だけを知っていれば良い。ただしネットワーク環境によってProxyを導入していたりするとTCPレイヤーでトラブルが発生する可能性があるので、そうなると"protocol"をある程度は知っている必要があるだろう。

nPOPQはPOP3プロトコル専用のメーラだが、軽い上にSMTPとPOPを割と透過的に扱えるので、出先でメールをチェックしたりメールサーバの動作確認を行うときに重宝している。

が、普段使いのメールチェックに限定すると最近はWebメーラで事足りるため、nPOPQのデータをThunderbirdを介してGmailに移すことにした。

• nPOPQからThunderbirdへのメールの移行 | 黒猫屋倫彦の冒険
  • http://blog.ap.teacup.com/crow_neco_yah/18.html

上記サイトを参考にした。nPOPQのメールデータはドット区切りで、mbox形式ではないためThunderbirdには直接取り込めない。上記サイトではBecky!を経由してmbox形式に変換しているが、実際にやってみたところ文字化けしてしまった。そのため、自分の場合は秀丸メールを一時的にインストールしてそちらで試してみたら、文字化けせずにmboxに変換できた。ただし日付が全て1970-1-1になってしまったが、これは諦めた。

とりあえずこれによりThunderbirdを介してGmail側にメールデータを移行できた。

• [ Prev ]
• [ Next ]
• [ 技術 ]

WebStorageのサンプルとメモ。

参考：

• Web Storage
  • http://dev.w3.org/html5/webstorage/
• LocalStorageがおもいのほか便利すぎたのでまとめ - ブックマクロ開発に
  • http://d.hatena.ne.jp/takuya_1st/20110815/1313415947

Firefox 6.0, Chrome 13, IE9 にて確認。

最近のお仕事で、StrutsっぽいWebアプリでGETとかPOSTパラメータ名が

foo.bar=...

みたいなドット区切りのを見かけるようになった。

PHPだと"_"に強制的に変換されてしまうのだが、Javaの世界だとどうなってるのだろう、と、数年ぶりにStrutsを触ってみた。
現在はStrutsが2.2.3まで出てる。

自分が最後に触ったStrutsは1.x系で、まさしくXML地獄となっていたのがだが、あれから多少楽になったようだ。
煩わしいForm定義から解放され、DIコンテナとの統合もなされ、洗練された印象を受ける。

で、肝心のドット区切りのパラメータについてだが、どうやらStruts2系ではパラメータの解釈でOGNLというのを使い、式評価によりJavaのオブジェクトに変換しているようだ。
例えば

user.address.city=FooBar

なら

action.getUser().getAddress().setCity("FooBar")

となり(actionというのは、Struts2ではFormを介さずに直接Actionクラス(POJO)に値を渡す形式になっているから。)、

user['favoriteDrink']=green-tea

なら

action.getUser().setFavoriteDrink("green-tea")

と解釈される。

なるほど、こりゃ楽でいいわ・・・と喜んだのも束の間。
Struts2の公式サイトのドキュメントを漁ってたら、

• Security Bulletins
  • https://cwiki.apache.org/WW/security-bulletins.html

の"S2-005"経由で、

• o0o: CVE-2010-1870: Struts2/XWork remote command execution
  • http://blog.o0o.nu/2010/07/cve-2010-1870-struts2xwork-remote.html

OGNLの式評価ではメソッドの実行やインスタンスの生成なども可能なので、悪意のあるパラメータを設定することで任意のJavaコードを実行できてしまう可能性が・・・(´・ω・｀)。

ということで、最新版のStrutsを使うか、ParametersInterceptorのexcludeParamsでホワイトリストorブラックリストで受け付ける文字種を限定しましょう、というお話。

あと、OGNLとして受け付けられない不正な値が入力された場合、裏側でOGNLのparseに失敗してればログを出力してくれるので、その辺もチェックしてみると良いかも。