@kyanny's blog

My thoughts, my life. Views/opinions are my own.

読書

12. オブジェクトリレーショナル構造パターン

一意フィールド 長々と書いてあるが primary key のこと。複合キーとか、データベース全体で一意のキーを使う(!)とか、テーブル継承のときは階層につきひとつ(親子で共有する)とか紹介が続く。普通は auto increment 使うよねという感じだが GUID とか…

11. オブジェクトリレーショナル振る舞いパターン

一月半くらい開いてしまったがまた読み始めた。むしろたった一月半しか経っていないことに驚いた。三ヶ月くらい前のことに感じる。 ユニットオブワーク 地の文がひたすら眠くなる感じでさっぱり頭に入ってこないが markNew() markDirty() メソッドはわかる。…

10. データソースのアーキテクチャに関するパターン

そもそもこの本を読もうと思った動機は「アクティブレコードとデータマッパーの違いを学びたい」だったのでこの章を読むために買ったと言っても過言ではない。その章に差し掛かった。 テーブルデータゲートウェイ 名前でだいたいわかるし UML 図みてもだいた…

9.ドメインロジックパターン

この本最初の面白いところに差し掛かった感がある。けっこうわかりやすくて納得感もある。 トランザクションスクリプト でっかい .cgi ファイルというイメージ。ウェブでいうとリクエストの解析からデータベース接続、データ処理してビューを組み立ててレス…

5.並行性 6.セッションステート 7.分散ストラテジー 8.まとめ

だいぶ読むのがきつかった。邦訳があまり評判よくないことはレビュー等で知っていたが、これは確かに読めない。日本語で書いてあるのに意味がわからない、字面を追っても頭に意味が入ってこない。そこで原著を読めたり、読み比べられたらかっこいいんだけど…

4. Web プレゼンテーション

Model View Controller トランスフォームビュー、 XSLT とか テンプレートビュー、いわゆるふつうのテンプレートエンジン使うようなの シングルステージビューとツーステップビュー、よくわからん・・・ ページコントローラとフロントコントローラ、これも・…

1.レイヤ化 2.ドメインロジック 3.データベースマッピング

PoEAA 読み始めたのでメモ。積ん読いろいろ残ってるけどまぁ気にせず読みたい気持ちに素直に隸おう。いやなんでそんな字に。従おう、と書いたのだが。生真面目にまとめようとしすぎると息切れするので大雑把を心がける(?)こういうときマインドマップを習…

4. Webアプリケーションの機能別に見るセキュリティバグ (4.5 「重要な処理」の際に混入する脆弱性)

いわゆる CSRF の話。 CSRF Cross-Site Request Forgeries アプリケーションの正規の利用者の権限で、意図せず重要な処理へのリクエストが発行され、悪用される(例: はまちちゃん「こんにちはこんにちは!!」) XSS とは違い直接アカウントの個人情報やセッ…

4. Webアプリケーションの機能別に見るセキュリティバグ (4.4 SQL 呼び出しに伴う脆弱性)

ハイライト二つ目。 SQL インジェクション。 4.3 XSS をまとめるのにずいぶん時間がかかったので時間あけて二度読みなおした。 SQL インジェクション(影響範囲とか危険性はいうまでもない) エラーメッセージ経由の情報漏洩 cast() をつかって型不一致でエ…

4. Webアプリケーションの機能別に見るセキュリティバグ (4.3 表示処理に伴う問題)

この本最初のハイライト、ってところかな。線引き始めるとキーワードだけじゃなくてそこらじゅう真っ赤に塗りつぶしそう。 XSS 基本編 概要 サイト利用者のブラウザ上で、攻撃者の用意したスクリプトの実行によりクッキーを盗まれる(なりすまし) ブラウザ…

4. Webアプリケーションの機能別に見るセキュリティバグ (4.2 入力処理とセキュリティ)

Webアプリケーションの入力には、 HTTP リクエストとして渡されるパラメータ (GET、POST、クッキーなど) があります。 クッキーやヘッダなども入力である == 脆弱性がないか注意、意識を忘れずに 文字エンコーディング 文字エンコーディングに起因する脆弱性…

4. Webアプリケーションの機能別に見るセキュリティバグ (4.1 Webアプリケーションの機能と脆弱性の対応)

4章は長いので節ごとにわけて書かないと破綻しそう。 脆弱性の大分類 出力時(インジェクション系) 処理時(認証認可、 CSRF、ディレクトリトラバーサル) インジェクション系の脆弱性は共通の原理に基づく SQL インジェクション脆弱性が発生する原因は、デ…

3. Webセキュリティの基礎

HTTP の基礎については、復習のつもりで読んだ。いちおうちゃんと理解できてたと思う。 パーセントエンコーディング パーセントエンコーディング - Wikipedia パーセントエンコーディングは、対象の文字列をバイト単位で「%xx」という形式で表します。xx は…

2. 実習環境のセットアップ

Fiddler 使ったことないので試してみよう。Download Fiddler Web Debugging Tool for Free by Telerik

1. Webアプリケーションの脆弱性とは

脆弱性とは 悪用できるバグ セキュリティバグ バグ == アプリケーションの不具合である、という認識をはっきりもつこと、異常なのだと認識することが大事。 運営者のうける被害、利用者の受ける被害 ボットネットワーク構築に加担してしまう セキュリティバ…

今日買った本

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践作者: 徳丸浩出版社/メーカー: SBクリエイティブ発売日: 2011/03/01メディア: 単行本購入: 119人 クリック: 4,283回この商品を含むブログ (146件) を見る

「良いコードを書く技術 ?読みやすく保守しやすいプログラミング作法 (WEB+DB PRESS plus)」を読んだ。4/21に買った本のなかで一番最初に読み終わった(一番薄かった)全体的に、浅く広くという印象を受けた。知っている、意識していると感じる内容が多かっ…

第一章 始めよう

変更を起点としてビルドを実行する CI が必要とする機能 バージョン管理システム ビルドスクリプト フィードバック手段 ソースコードの変更を統合するプロセス integrate ボタン 自動化された繰り返し実行可能なテスト しょっぱなから CI について少し誤解し…

はじめに

私たちの経験では、ソフトウェア開発を単なる「仕事」としてとらえる人と、「専門性の高いプロフェッショナルの仕事」としてとらえる人との間には、明確な違いがある。本書は、プロフェッショナルとして働き、プロジェクトの中に繰り返し作業があることを自…

今日買った本

エンタープライズ アプリケーションアーキテクチャパターン (Object Oriented SELECTION)作者: マーチン・ファウラー,長瀬嘉秀,株式会社テクノロジックアート出版社/メーカー: 翔泳社発売日: 2005/04/21メディア: 大型本購入: 10人 クリック: 635回この商品…

「レガシーコード改善ガイド」を読んでる

「レガシーコード改善ガイド」を読んでいる。素晴らしい本だと思う*1。読み始めてすぐに、感動して勢いに任せて書いた感想文があって、あまりに褒めすぎなのでちょっとどうかなと思って公開してなかったんだけど、半分くらい読んで評価は揺るがないと確信し…

「小さなチーム、大きな仕事」を読んだ

REWORK の邦訳。 DHH や basecamp や campfire で有名な 37signals のビジネス本。本屋に在庫があったので買ってみた。ハヤカワ新書というのがあるんだね。内容はウェブでわりとよく見かける「仕事をポジティブに!」みたいなのが多い。この手の話題が好きで…

「シリコンバレーから将棋を観る」を読んだ

残念残念とギター侍がリバイバルしたかのように盛り上がっているさなかに読んだ。話題性という点からみると、あと二週間早く読み終わって感想を書いておかなければ意味がなかったな、と残念に思う(アフィリエイト的な意味で)。もう残念ブームも下火だろう…

「マスタリングPerl」を買った

マスタリングPerl作者: brian d foy,菅野良二出版社/メーカー: オライリージャパン発売日: 2009/03/23メディア: 大型本購入: 3人 クリック: 23回この商品を含むブログ (14件) を見る「マスタリングPerl」を買った。あと Web+DB Press の一番新しい号(はてな…

「Google を支える技術」を読んでいるが面白くない

「サーバ/インフラを支える技術」と比べて、全然面白くない。「サーバ/インフラを支える技術」のほうは、年末年始でまとまった読書の時間もとれたし、はしょって読んだところもあるので、読み方が少し違うかもしれないけど、退屈さは感じなかった。対して、…

仕事ができる人はなぜ筋トレをするのか

「悩む力」と一緒に買った本だが、こちらはとても良い。まだ途中だけど、面白い。レバレッジシリーズの本田直之さんが帯に推薦文を書いていたのと、半袖さんのブログ(http://blog.hansode.org/archives/51735280.htmlだったか)でも「筋トレは続けることが…

悩む力

つまらなかった。著者は夏目漱石ファンのようで漱石の作品の引用とか「私はこう解釈しました」みたいな話が多いけど、「どうもこの人○○の分野には不勉強そうなのに知ってる範囲で語ってしまっていて中途半端に見えるなあ」というのが結構多かった。梅田望夫…

マンガでわかる統計学シリーズ

会社に通称「数学部」という有志の勉強会があり、名前の通り数学を学ぶ集まりなのだけど、今月からシーズン 2 ということで統計学を教わっている。しかし「いきなり難しいことをやってもわからんだろう」という講師のはからいで、「マンガでわかる統計学シリ…

イノベーションの神話

Lingr の江島さんが前に CNET のブログで紹介していたような気がする。これも半年くらい前に買って、そのときは「なんか、期待していたほど面白くなさそうだなあ」と思ってろくに読んでなかったもの。まだ第一章しか読んでないけど、「人が革新的なアイデア…

IT技術者として生き抜くための十ヶ条

半年くらい前に、ショッキングなタイトルにつられて買った本。数ページ読んであまり面白くないなあと本棚に入れっぱなしにしてあったのをまた引っ張り出してきて半分くらい読んで、こりゃダメだと思ったので感想を書いて捨てる本の山行き。まず文章がとても…