一応音楽だけWifiなしだと24時間以上持つんですね?
iPhoneではどうか後ほどUPします。
■使ったソフト
Battery Power
http://www.e-global-agent.com/english/iphone/Battery.html
悩みながらも作ることが好きな「あゆたや」は、札幌のWeb系な人です。
一応音楽だけWifiなしだと24時間以上持つんですね?
iPhoneではどうか後ほどUPします。
■使ったソフト
Battery Power
http://www.e-global-agent.com/english/iphone/Battery.html
そんなの嫌だー(;´д⊂)
かといってバイトの履歴書出した先とかは旧姓なんてまったく関係ないわけで・・・。
ただでさえ過渡期は公的書類で両方の姓が入ってないと本人と認められなくてイラっとすることが多いというのに。
世の旦那様方(未来のも含む)、よーく聞いてください。
たとえば生協の支払いクレジットカード兼会員証Aが今度から違う会社Bになるんですけど、カードAを契約したとき独身で、その後結婚してたら、まず
・銀行の名義変更
↓
・カードAの名義変更
→本来はこの段階で生協の名義変更も終わる
(カードA会社コールセンター調べ)
が必要。
で、カードBの申込書出せーってきても印刷されてるのは旧姓。
不安になって電話で問い合わせるも、「両方の姓が入った証明書(例えば免許証)を添付してください」と言われます。
申込書送付後に来ないなー。各種支払いのカード番号変更するのに困ったなー。と思っていたら。
生協「会員証の名義変更の書類やっぱ出してもらわないとダメです(用紙ぴらっ)」
しかも全く別件で個人用カード(=偶然にもカードBと同じ会社だた)に連絡取ったとき、契約してるカードにカードBが加わってた。
手元にカードないのに契約済み。
(´・ω・`)
その為に新旧姓がわかる本人確認書類の用意と、用紙に書かされること4回ですよ。
たしかにレアケース過ぎて誰も把握してなかったとか、あると思うんですけど。
そもそも姓の変更なんて制度がなければこんな面倒なことにはならんのに…。
別姓はやく解禁しないかな。
相手は何も悪くないのに新姓で呼ばれるとあえて無視したくなってしまうこの気持ち・・・。
複雑すぎる。
Sleep Cycle
(http://itunes.apple.com/WebObjects/MZStore.woa/wa/browserRedirect?url=itms%253A%252F%252Fitunes.apple.com%252FWebObjects%252FMZStore.woa%252Fwa%252FviewSoftware%253Fid%253D320606217%2526mt%253D8)を買ってみた。
とりあえずグラフ。
夢も見ずに爆睡ですな(´・ω・`)寝たのが6時なのは気にしないでください。
11時ごろ別の目覚まし時計が鳴って
?(`Д´)ノΩ ガッ
↓
( ̄ー ̄) Zzzzz…
ってやったせいで16時まで寝てました。
アカンわ。
マットレスのせいもあるのかもしれんけど、旦那はちゃんとグラフ取れてるからなあ。
http://www.kajisoku.net/1/archives/eid251.html
より。
原因はセッション周りということで、いつも気を遣うし、一番念入りにテストするところなのでガクブルしながら見てます。
ページ遷移を含む物販サイトだと、たいてい合言葉(=セッションID)をサーバとブラウザで決めておき、合言葉を言えばサーバ側で控えた購入商品の情報を呼び出して、ページを移動してもを引き継げるようになっています。
今回の問題は、
1.購入完了処理後にサーバ側で「もうこの合言葉はつかわん」と破棄したあとでも、ブラウザが合言葉を使って接続すると、鼻歌交じりで合言葉が必要な全部のページが見られる。
2.購入履歴見るための注文番号が単純で、自分の購入履歴画面に入ったブラウザのURLを適当に変更すると「他人の購入履歴が見られる」
3.しかも他人の購入履歴から領収書が(不正に)発行できる
4.Googleのキャッシュに購入履歴等の個人情報が記載されたページが保存されてた(=誰でも検索できるようになってた)
通常セッション(合言葉)の破棄は
1.サーバセッションデータ削除
2.ブラウザクッキー(セッションID)削除
としてやればOKなんですが
秘匿ページ側では
1.有効なセッションかどうか確認して表示
→サーバ側セッションデータは有効か?
→IPアドレスも同一か確認したほうがより○
→(ID/PWが必要なページの場合)インアウトのログをとっておき、インならば表示、アウト済みまたは記録なしなら非表示とする
というのもセットで行います。
たぶん、ブラウザクッキーの削除をしないで、クッキーにセッションIDがあるかどうかだけ「有効セッション」と判断していたような気がします・・・。(そしてクッキーの有効期限)
セブンはシステム開発の内製化をすすめて、社内に20?30人程エンジニア入れてやってた様です。
経費削りすぎたのか、私のような初心者が紛れ込んでたのかもしれないですねぇ・・・。
ひとごとじゃない・・・。
クロスサイトスクリプティング(XSS)脆弱性もみつかったそーです。
どーすんだこれ・・・。
会員制サイトに基本極力クレジットカード保存しないのはこういうのを防ぐためにもオススメしときますよ。