Sales Information
書泉ブックタワー (集計期間:6/7~6/13)
1位 リーダブルコード
2位 Cython
3位 詳説 イーサネット 第2版
4位 データ匿名化手法
5位 データサイエンス講義
6位 マイクロインタラクション
7位 実践Vagrant
8位 プログラミングC# 第7版
9位 インタフェースデザインの実践教室
10位 Land of Lisp
あ、ブックタワーには入ってたのか!>Cython
もういっこオライリーから。
Sales Information
今月のキャンペーンは、アニマルデザインのキャンバスバッグをプレゼント。白地にプリントされたペンギンのシルエットのデザインです。オライリーの書籍が数冊入るようにマチがついていますので、写真のサイズ感より収納力は大きいです。普段の鞄に加えて書籍を持ち運んだり、ちょっとしたお買い物にもお使いいただけます。
ぐはっ。欲しかったこれ。
はてなブックマーク - 「型」の定義に挑む | コンピュータサイエンス | POSTD
例のサイトの翻訳記事なんで内容はお察しなんですが、このふたつのコメントには笑った
良記事だと思うが、「この型システムは、論理でリンクに戻り、従来の”言語の安全性”プロパティを拡張します」といった残念な訳文がある、いつものPOSTDだ。
多分、このサイトでの翻訳は手に余るんじゃないかな。
翻訳記事の重箱の隅つつきは……いいか。
"Literate programming - Wikipedia, the free encyclopedia"
https://en.wikipedia.org/?title=Literate_programming
"文芸的プログラミング - Wikipedia"
https://ja.wikipedia.org/wiki/%E6%96%87%E8%8A%B8%E7%9A%84%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%9F%E3%83%B3%E3%82%B0
Secure Coding Practices Checklist
Input Validation:
Conduct all data validation on a trusted system (e.g., The server)
すべてのエンコーディングを信頼できるシステム(サーバー)上で行うこと
Identify all data sources and classify them into trusted and untrusted.
Validate all data from untrusted sources (e.g., Databases, file streams, etc.)
すべてのデータ源を indentify し、それらを trusted なものと untrusted なものに分類する。
untrusted なデータ源(データベースやファイルストリームなど)からのデータはすべて validate する。
There should be a centralized input validation routine for the application
アプリケーション用の centralized input validation routine を持っているべきである。
Specify proper character sets, such as UTF-8, for all sources of input
すべての sources of input に対して、UTF-8 のような proper な character set を指定する
Encode data to a common character set before validating (Canonicalize)
validating に先立ち、common character set へエンコードする
All validation failures should result in input rejection
validation の失敗はすべて input rejection とすべきである
Determine if the system supports UTF-8 extended character sets and if so,
validate after UTF-8 decoding is completed
使用しているファイルシステムが UTF-8 の extended character set をサポートしているか判定し、
サポートしている場合には UTF-8 decoding が完了したあとで validate を行う
Validate all client provided data before processing, including all parameters,
URLs and HTTP header content (e.g. Cookie names and values).
Be sure to include automated post backs from JavaScript, Flash or other embedded code
処理を行う前に、すべてのパラメータ、URL、(Cookieの名前や値のような) HTTP header content を validate する。
validate の対象に JavaScript や Flash その他の embedded code からの automated post を含めることを忘れないこと
Verify that header values in both requests and responses contain only ASCII characters
request と response の両方ともその header values には ASCII キャラクターのみが含まれていることを verify する
Validate data from redirects
(An attacker may submit malicious content directly to the target of the redirect,
thus circumventing application logic and any validation performed before the redirect)
リダイレクトからのデータを validate する
(攻撃者はリダイレクトのターゲットに対して malicious content を直接 submit して
application logic とリダイレクト前に行われる一切の validation を回避してしまう可能性がある)
Validate for expected data types
予期していたデータ型であるか validate する
Validate data range
データの範囲を validate する
Validate data length
データの長さを validate する
Validate all input against a "white" list of allowed characters, whenever possible
"white list" of allowed characters が利用可能である場合は常に
それを使ってすべての入力を validate する
If any potentially hazardous characters must be allowed as input,
be sure that you implement additional controls like
output encoding, secure task specific APIs and
accounting for the utilization of that data throughout the application.
Examples of common hazardous characters include: < > " ' % ( ) & + \ \' \"
入力としてなんらかの potentially hazardous characters を許可しなければならないのであれば、
出力のエンコーディングや secure task specific API、
accounting for the utilization of that data throughout the application のような
additional control を確実に implement しておくこと
一般的な hazardous characters の例には < > " ' % ( ) & + \ \' \" がある
If your standard validation routine cannot address the following inputs, then they should be checked discretely
使用している standard validation routine が以下に挙げたような入力に対処できないのであれば、
そのような入力に対しては discretely にチェックすべきである
o Check for null bytes (%00)
null bytes (%00) に対するチェック
o Check for new line characters (%0d, %0a, \r, \n)
改行キャラクター (%0d, %0a, \r, \n) に対するチェック
o Check for "dot-dot-slash" (../ or ..\) path alterations characters.
In cases where UTF-8 extended character set encoding is supported, address alternate representation like: %c0%ae%c0%ae/
(Utilize canonicalization to address double encoding or other forms of obfuscation attacks)
"dot-dot-slash" (../ or ..\) path alterations characters (../ や ..\ のこと) に対するチェック。
UTF-8 の extended character set encoding がサポートされている場合には、%c0%ae%c0%ae/ のような
alternate representation にも対処すること。
(double encoding やその他の form での obfuscation attacks に対処するために canonicalization を行う)
Output Encoding:
Conduct all encoding on a trusted system (e.g., The server)
すべてのエンコーディングを trusted なシステム上で行う
Utilize a standard, tested routine for each type of outbound encoding
外向きのエンコーディングのそれぞれの型に対して、標準でかつテスト済みのルーチンを使用する。
Contextually output encode all data returned to the client that originated outside
the application's trust boundary.
HTML entity encoding is one example, but does not work in all cases
originated outside the application's trust boundary なクライアントに対して
返すデータはすべて contextually に output encode する。
HTML の entity encoding は一つの例であり、それがすべてのケースで有効であるわけではない
Encode all characters unless they are known to be safe for the intended interpreter
intended interpreter に対して安全であることが分かっていない限り、すべてのキャラクターをエンコードする
Contextually sanitize all output of un-trusted data to queries for SQL, XML, and LDAP
queries for SQL, XML, LDAP といったものでの untrusted な data の出力はすべて contextually に sanitize する
Sanitize all output of un-trusted data to operating system commands
オペレーティングシステムのコマンドに対する untrusted data の出力はすべて sanitize する
(適切と思われる)訳を決めるのが面倒な単語や言い回しは英文表記のまま。悪しからず。
ちまちま読んでるけど面白い。
偶然見つけた本だけど当たりだった。
