hangedman hangingman

概要

http://co3k.org/blog/csrf-token-should-not-be-session-id について。

この記事では触れられていませんが、

むかし、セッションIDをHTMLソース中に埋め込んでも脅威は変わらないと主張した人がいました
正確には「hiddenの値のみ漏れやすいような特殊な脆弱性が無ければ」という前提であったけれど、実際にそのようなバグはあったし、予見されていた。
とても影響のある人だったので、色々なサイトや書籍がその方法を紹介し、安全なウェブサイトの作り方にも載ってしまいました

この際ハッキリ言っておくべきだと思うので書きますが、そもそもセッションIDを(HTMLソース中に埋め込む)CSRF対策トークンとして使うのは間違いでした。最初から間違っていたのです。正確に言うとCSRFの話は関係ないですね。CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません。

Pry Cheat Sheet

Youtube Tutorial 2013

Command Line

pry -r ./config/app_init_file.rb - load your app into a pry session (look at the file loaded by config.ru)
pry -r ./config/environment.rb - load your rails into a pry session

Debugger

Scala の省略ルール早覚え

このルールさえ押さえておけば、読んでいるコードが省略記法を使っていてもほぼ読めるようになります。

メソッド定義

def concatAsString(a: Int, b: Int): String = {
  val a_ = a.toString();
  val b_ = b.toString();

	scala> import org.mockito.Mockito._
	import org.mockito.Mockito._

	scala> implicit val session: DBSession = mock(classOf[DBSession])
	session: scalikejdbc.DBSession = Mock for DBSession, hashCode: 339695449

	scala> sql"select * from companies".map(_.toMap).list.apply()
	res0: List[Map[String,Any]] = null

	scala> :q

	// "License": Public Domain
	// I, Mathias Panzenböck, place this file hereby into the public domain. Use it at your own risk for whatever you like.
	// In case there are jurisdictions that don't support putting things in the public domain you can also consider it to
	// be "dual licensed" under the BSD, MIT and Apache licenses, if you want to. This code is trivial anyway. Consider it
	// an example on how to get the endian conversion functions on different platforms.

	#ifndef PORTABLE_ENDIAN_H__
	#define PORTABLE_ENDIAN_H__

	#if (defined(_WIN16) \|\| defined(_WIN32) \|\| defined(_WIN64)) && !defined(__WINDOWS__)

	class Person
	def initialize(attributes)
	attributes.each do \|attribute_name, attribute_value\|
	##### Method one #####
	# Works just great, but uses something scary like eval
	# self.class.class_eval {attr_accessor attribute_name}
	# self.instance_variable_set("@#{attribute_name}", attribute_value)

	##### Method two #####
	# Manually creates methods for both getter and setter and then

	OUTPUT_FORMAT("binary")
	ENTRY(KernelMain)

	HEAP_SIZE = 0;
	MMAREA_SIZE = 0;

	__ctors = ADDR(.ctors);
	__ctors_count = SIZEOF(.ctors) / 4;

	SECTIONS

	(ns six-length.core
	(:require [clojure.core.reducers :as r]
	[clojure.string :as s])
	(:import [java.security MessageDigest]
	[javax.xml.bind DatatypeConverter]))

	(set! warn-on-reflection true)

	(def hexdigest
	(let [digester (MessageDigest/getInstance "MD5")]


	import java.security.MessageDigest

	val md5 = MessageDigest.getInstance("MD5")

	def equals[T](xs: Array[T], ys: Array[T]): Boolean = {
	if(xs.size != ys.size) return false
	var i = 0
	while(i != xs.size) {
	if(xs(i) != ys(i)) return false