結構便利そう。 ホーム： http://www.openqa.org/selenium-core/ デモ： http://www.openqa.org/selenium-core/demos.html ダウンロード： http://www.openqa.org/selenium-core/download.action

備考：前のエントリのコメントに対してこのエントリを作成しました。 セキュリティ対策の3大要素の一つとしてデータの整合性（Integrity）があります。3要素は私が勝手に決めたことではなくISO規格でも決まっています。 個別のアプリでの解釈の問題になりますが、データの整合性に重複送信が含まれない、と考えるのであればコメントされている通り「発想が変」と言う考え…

フォームにランダムで一意なIDを割り当てる方式も十分簡単だと思いますがREFERERでCSRF対策を行っているサイトが結構あるようですね... FlashでREFERERが書き換えられる問題は別次元の問題だとしても、REFERER自体ブラウザが送信するデータであるため元々信頼できるデータでは無いです。随分前からクライアントレベルのセキュリティ対策ソフトウェア…

何故かmb_send_mailでメールが文字化けする、普通に運用しているサーバでは問題が無いにも関わらず... 調べてみるとmbstring.languageのaccess設定が6になっていました。6つまりスクリプトからは変更できない状態になっています。運用サーバ環境(開発環境含む)ではphp.ini設定はほとんど全て仮想サーバレベルで設定していたので今まで…

PHP 5.2.0のsetcookie/setrawcookie関数からhttpOnly属性をクッキーにつける事ができるようになりました。httpOnly属性はMicrosoftが独自に拡張した仕様で、JavaScriptからクッキーの値を使用できなくする機能です。httpsでのみクッキーを送信するsecure属性に似ています。 Microsoftの独自拡張…

備考：名無しさんの指摘でタイトルを変更、一部本文を修正しました。（IEとFFの立場を入れ替えました） 少なくとも2006年1月ころのMozilla系ブラウザには簡単に設定できるべきでないクッキーが設定できてしまう問題がありました。最悪なのはco.jp等、ccTLDの属性ドメインに対してクッキーが設定できてしまう動作ですが、手元のFirefox 2.0で試した…

PHP 5.2.0がリリースされていますが少なくとも2つ重要なセキュリティフィックスがあります。5.1/4.4ユーザが5.2.0にアップグレードするには時間が必要と思うのでWikiどのパッチが必要か書いておきました。PHP4はこちらです。 PHP4.4にはありませんがPHP5.1にはecalloc（メモリ確保関数）に整数オーバーフロー脆弱性があります。この脆…

忙し過ぎてタイムリーにブログが書けないです。最近セッション管理の問題が一部で話題になっていました。そこの中に以下のような議論がありました。 ログイン後にsession_regenerate_id()を実行すれば外部からのセッションIDを受け入れても安全 確かにログイン後のセッションIDは本来セッションIDが持つべき属性  一意な値であること 第三者…

Google Source Codeで自動的にバグ（らしきもの）を見つけるページ http://www.cipher.org.uk/projects/bugle/BugleAutomated.php 古いコードも一緒に検索されたりしますが「Package Name」オープンソースのプロジェクト名（ソースのtar玉のパッケージ名の部分など）を入力すると自動で怪…

追記：現在のPHPでは問題ありません。パフォーマンスを考えるとhtmlspecialchars()の利用をお勧めします。新しいエントリを参照してください。 https://blog.ohgaki.net/php-html-escape PHPにはHTMLの文字列として出力する関数が2種類あります。 htmlspecialchars() <,>,&…