くまりゅう日記

もっと過去の日記
[.NET | BeOS | Blender | COLLADA | fossil | mono | monotone | NPR | OpenGL | PeerCastStation | Riko | Ruby | Silverlight | TRPG | XNA | ゲーム | ゲーム作り | プログラム | | 模型]

2013-12-19

日記

ARROWS Tabにちょっと慣れてきた。

しっかり掴んでしまえば意外に保持できることがわかった。 キー入力しない時は指をひっかけるんじゃなくて、下端の角を掌に載せるようにすると持ちやすい。 まあでもやっぱり滑りやすくて落としそうなので、滑り止めは必要だろうな。

vimとかVisualStudioとか入れてみたが、字がでかすぎて縦持ちだと狭い。 標準でWindowsのdpi設定が最高になってるが、一段階落とした方が広く使えるな。 字は小さくなるが、解像度は高いので見辛いこともない。 LOOX Uも小さかったしね。

SKKFEPがちょっと余計な機能が多くて使いづらかったのでCorvusSKK入れたら、小さいソフトウェアキーボードも出現した。 MS IME専用じゃなくて対応するIMEが必要だったということか。 記号打ちづらいとかESCがないとか問題があるのでプログラム書いたりvimで使ったりはできないが。

設定も毎日ちょっとずつ進めてだいぶできてきた。あと保持さえなんとかすればLOOX Uのかわりに持ち歩いて使えそうだ。

[PeerCastStation] CSRF対策

今のPeerCastStationにはCSRF脆弱性があることがわかってるのでなんとかしたい。 指摘されて知ってはいたけどすぐ忘れてしまう。

PeerCastStationにはCSRF脆弱性があるというか、PeerCastにもほぼ同じのがあって大して問題になってないから1緊急でもないということもあるんだよな。

Web APIのCSRFはどうやって対策すればいいのか調べてみると、HTTPのリクエストに独自のヘッダを追加して、これが無いと受け付けないようにすればOKとのこと。

なんでこれでいけるのかというと、form等では独自のヘッダが使えないので正当と見做されるリクエストを送ることはできず、 JavaScript等からリクエストを送る場合は独自ヘッダを付加できるが同一ドメインとしか通信できないのでCSRFはできない、ということらしい。 頭いいな。

JavaScriptが同一ドメインとしか通信できないってのが、同一ドメインていうのはどの範囲なのかわかってない。 なんとなくページのドメインを基準にしてるんじゃないかという気がするがこれでいいんだろうか。

http://foo.example.com/hoge.htmlhttp://bar.example.com/fuga.jsを読み込んで、fuga.jshttp://bar.example.com/apiなんかと通信しようとした時は通信できない、ってことでいいのかな?

試してみたところできないっぽい。やっぱりページのドメイン基準か。 ちゃんとした仕様はどこ見れば書いてあるんかな。

独自ヘッダてのは何がいいんだろうと調べてみると、X-Requested-Withというのをくっつけるライブラリが多数あるようだ。 何のためにくっつけてるんだかわからんが、まあよく使われるならこれを使えばよかろう。 リクエストにこのキーがあるのを確認すれば値は見る必要もなさげ。

あとこれやっちゃうと、既存のツールに変更入れないといけなくなるのもちょっと困る。 俺が把握してるのはPeCaStarterとAirYPくらい?PeCaStarterはパッチ作って送ってもいいけど、AirYPはソース無いからわからんな。 AirYPは対応しなくても動くはずだけど。

  1. たまーに問題にはなってるようだ 


ページのトップへ | トップ «前の日記(2013-12-17) 最新 次の日記(2013-12-24)» | 編集 | kumaryu.net by kumaryu