メモの日々

■ [tdiary] [tDiary-devel] コメントspamフィルタ

• http://www.tdiary.org/ml/devel.rb?key=/mailarchive/forum.php%3Fthread_id%3D7698210%26forum_id%3D8349

多機能なフィルタと設定用のプラグインみたい。

■ [dev] 「「作業量ではなく、機能で買う」、KDDIがシステム調達で新方針」 （IT Pro）

• http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050620/163017/

6月の記事が少ーしだけ気になったのでメモ。

機能量を測る方法自体は、ファンクション・ポイント（FP)法という昔からあるものを採用する。すでに、3人の情報システム部員がFP法によるデータ取得と分析に取り組み始めた。ITベンダーからもFP法で計測したデータを取得している。

■ [java] 「RCP Tutorial: Part 1」 （Eclipse Japan Working Group）

• http://www.eclipse.org/japanwg/20050425/rcp_tutorial_ja1.html

RCPのチュートリアルの日本語訳。新・たけぞう瀕死の日記より。

この Tutorial では EclipseCon 2005 で行われた Tutorial をサマリで Part 1, Part 2 に分けて紹介します。Eclipse 3.0 から導入された RCP (Rich Client Platform) を使って、RCP によるリッチクライアントの世界とその開発の COOL さを垣間見ていただけると思います。

Hyadesによるプロファイリング入門てページもある。

■ [web][javascript] 「JavaScript」 （DevGuru）

• http://www.devguru.com/Technologies/ecmascript/quickref/javascript_index.html

JavaScriptのリファレンス。ベイエリア情報局より。

他にASP、CSS2、HTML、WSH、XHTML、XSLTなんかのリファレンスもある。

■ [security][web] 「クロスサイトリクエストフォージェリ（CSRF）対策がいまいち進まなかったのはなぜか」 （高木浩光＠自宅の日記）

• http://takagi-hiromitsu.jp/diary/20050703.html

CSRFに関する考察。CSRFってXSSなんかに比べてどのようなことに気をつけないといけないのかピンときていなかったのだけれど。

たとえば、4月19日の「水無月ばけらのえび日記」などにも書かれているように、パスワード変更機能で旧パスワードの同時入力がないと、CSRFによってパスワードを強制的に任意の文字列に変更されてしまうという脅威があることになる。

という例が分かりやすかった。今関わっているシステムが該当するから。

改めて、どんなページにCSRF対策が必要なのかをきちんと認識しておく必要があると感じた。で、それは以前にメモした高木さんの4月の日記に

CSRFを防ぐ必要があるのは、Webアプリケーションに対して何らかの恒久的なデータ変更を発生させるアクセスとなるページ（登録情報変更、設定変更、退会処理、注文実行、取り消しなど）である。

と分かりやすくまとめてあった。

■ やること

• オーブンレンジ用べんり棚
• ブラウンの安い電動歯ブラシ買う
• 蛍光灯を捨てる
• 請書