メモの日々

• 物忘れが気になる。健忘症なのか？
• 最近Googleのキャッシュが文字化けすることが多い。不便。
• NSURくんとSTUさんの送別会に参加させてもらった。SKIくんが日ハム小笠原にもっと注目せよと熱く語り鼻血を出した。

■ [security] 「開発者のための正しいCSRF対策」 （JUMPERZ.NET）

• http://www.jumperz.net/texts/csrf.htm

セキュリティホールmemo MLより。CSRFについて丁寧に解説している。IEにはCSSXSS脆弱性があるのでCSRF対策として「セッションIDをトークンとして使う方法」はよくない、という主張が重要。困ったな。CSSXSSのことはよく知らないので調べないと。

高木さんの見解を待望している人は多いだろうな。

（追記）

リンクしたページが読めなくなってしまった。後日書き直されたものが公開されるようだが。

ページが読めないと関連MLのアーカイブのURLが分からなくなってしまうので、履歴に残っているうちにメモ。

• Sea Surfers ML

freemlのアーカイブってちょくちょくエラーになる。そのときはURLの後ろに付いているsessionidを削除すると読める。どういうバグなんだ。

あと、関連した話題をちょっとメモ。

• なぜCSSXSSに抜本的に対策をとることが難しいか （いしなお！）
• クロスドメインのHTML読み取り(IEのバグ　CSSXSS）とCSRF （yohgaki's blog）
• CSRF と CSSXSS に関する議論について （おおいわのこめんと）

ややこしい。整理して考えないと間違える。

（追記2）

件のページはリライトされ再公開された。高木さんの文章が公開されたのでメモ。

• CSRF対策に「ワンタイムトークン」方式を推奨しない理由 （高木浩光＠自宅の日記）

■ [dev][db] 「PostgreSQLにおけるJIS X 0213サポートに関する考察メモ」 （PostgreSQL Information Page）

• http://www2b.biglobe.ne.jp/~caco/pgpage/jisx0213.html

PostgreSQLでは(8.1現在)，JIS X 0213はサポートされていません．このページでは， PostgreSQLでJIS X 0213をサポートする際の問題点などを検討します．

というページをなんとなくメモ。pgsql-jp MLより。

■ [java][ruby][db] 「境界を越える: アクティブ・レコードを探る」 （developerWorks）

• http://www-06.ibm.com/jp/developerworks/java/060331/j_j-cb03076.shtml

正直に言うと、私はRailsを最初に試した時、かなり傲慢でした。アクティブ・レコードなど丸で役に立たないと思い込んでいたのですが、実は一部の問題に対しては、あらゆるものが用意されていることを知ったのです。

読んでない。メモだけ。

■ やること

• 家賃
• 稼働
• インストーラ生成
• テーブル生成
• ダミー測定