タグ「セッション管理」

タグセッション管理

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 27件)

サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか？ - くろの雑記帳

2022/04/18 179 users ステートレス JWT サーバサイドグロ OWASP TOP

きっかけ昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか？」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」（... 続きを読む

"JWT=ステートレス"から一歩踏み出すための考え方

2021/09/11 295 users ステートレス JWT OWASP TOP 実装個別

この話に乗っかっていきます。 3行でログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む

マイクロサービス時代のセッション管理 - Retty Tech Blog

2021/04/06 240 users Retty Tech Blog マイクロサービス時代

この記事はRetty Advent Calendar 2019 21日目の記事です。エンジニアの神@pikatenor がお送りします。11日目の記事に書かれた「弊社エンジニアの神（注・人名であり実名です）」とは私のことです。 qiita.com さて世はまさにマイクロサービス大航海時代、大規模化した組織・肥大化したコードベースのメンテナンスを継... 続きを読む

SPA+SSR+APIで構成したWebアプリケーションのセッション管理 - ペパボテックブログ

2020/09/23 193 users ペパボテックブログ Webアプリケーションサーバサイド

カラーミーショップサービス基盤チームのkymmtです。この記事では、サーバサイドレンダリングするシングルページアプリケーションとAPIサーバからなるWebアプリケーションのセッション管理方法について紹介します。アプリケーションの構成構成の概要今回は例としてEC事業部で提供するカラーミーリピートをとりあげま... 続きを読む

マイクロサービス時代のセッション管理 - Retty Tech Blog

2019/12/22 112 users Retty Tech Blog マイクロサービス時代

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

2019/11/30 397 users r-weblife JWT Webアプリケーション考え方

おはようございます、ritou です。 qiita.com これの初日です。なんの話か皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！リンク貼るのは省略しますが、年に何度か見かける記事です。個人的にこの話題の... 続きを読む

詳解 google-cloud-go/spanner — トランザクション編 – google-cloud-jp – Medium

2019/05/24 14 users Spanner medium Session セッション前回

はじめに前回は google-cloud-go/spanner のセッション管理について見てみました。セッション管理だけでも Session Pool や Session のライフサイクルの管理など、やっていることは非常に多岐に渡っていましたね。今回はそのセッションの上でどのように Cloud Spanner のトランザクションが動くのか、クライアントライ... 続きを読む

Heroku でのスケジュールタスクの実行(Rails の場合) - Diary

2017/12/25 23 users Heroku Rails Heroku Scheduler

Heroku でのスケジュールタスクの実行(Rails の場合) Heroku ではいわゆる cron 的なことをしたい人のために Heroku Scheduler というものが用意されています。ですがこれはかなり問題の多いプロダクトで、シリアスな業務で用いるにはいろいろと厳しいです。まず設定 UI が非常に貧弱で、設定ミスをしても気付きづらいです。またセッション管理の点にも問題があり、自分がい... 続きを読む

SPAでのセッション管理とセキュリティ - Qiita

2016/09/16 220 users Qiita SPA セキュリティ

基本普通にcookie使えばいいと思います。 loginリクエストもajaxで投げればcookie返ってくるので、何も考えることないかなと。 Cookie 動作イメージは以下の形です。 == サーバ → UA == Set-Cookie: SID=31d4d96e407aad42; Path=/; Domain=example.com == UA → サーバ == Cookie: SID=31d... 続きを読む

MEANスタックで始めるWebアプリ開発入門（5）：いまさら聞けないMongoDBの基礎知識とインストール、CRUD操作の基本、モデリングツールMongooseの使い方 (1/3) - ＠IT

2015/07/13 48 users MVCフレームワーク MongoDB MEANスタック前回

「MEANスタックで始めるWebアプリ開発入門」連載目次前回の、『Node.jsのMVCフレームワーク「Express」における静的ファイル、ルーティング定義、セッション管理、エラー処理』では、サーバ側のMVCフレームワーク「Express」のいろいろな機能について紹介しました。今回は、MEANスタックの「M」の部分、MongoDBについての概要と、Node.jsからMongoDBへアクセスす... 続きを読む

セッション管理の要注意点 - Qiita

2015/05/28 63 users Qiita 要注意点

Webアプリを開発するに当たって、「自分でセッションを書きたい」なんて思う人はおそらく1%もいないでしょう。とはいえ、標準で備わっているセッション機能に問題や機能不足があって、手を入れざるを得なくなる、という場面も多々存在してしまいます。ここでは、セッションまわりでよく問題になる部分について触れてみましょう。そもそも、セッションとは Webアプリにおけるセッションは、接続ごとに固有の識別子（セ... 続きを読む

MEANスタックで始めるWebアプリ開発入門（4）：Node.jsのMVCフレームワーク「Express」における静的ファイル、ルーティング定義、セッション管理、エラー処理 (1/2) - ＠IT

2015/05/18 53 users MEANスタック MVCフレームワーク Express 連載

Node.jsのMVCフレームワーク「Express」における静的ファイル、ルーティング定義、セッション管理、エラー処理 (1/2) MEANスタックを用いたWebアプリの開発方法について紹介していく連載。今回は、Expressを使ったWebアプリ開発に必要な4つの機能として、HTMLやCSS、JavaScriptなどの静的ファイルの使い方、HTTPメソッドや正規表現を使ったルーティング定義、Me... 続きを読む

技術/HTTP/REST設計思想の "Stateless" との付き合い方 - Glamenv-Septzen.net

2015/02/11 203 users Stateless http ステートレスサーバサイド技術

id: 1350 所有者: msakamoto-sf 作成日: 2015-02-11 21:34:52 カテゴリ: HTTP プログラミング [ Prev ] [ Next ] [ 技術 ] RESTfulなAPIやWebアプリケーションを開発する際に、一つの疑問が生じる。 RESTでは「ステートレス」を重視して、サーバサイドでのセッション管理ではなく、クライアント側で認証情報や状態を保持... 続きを読む

PHPアプリケーションのセッション管理にAWS ElastiCacheを使う｜ Developers.IO

2014/05/15 219 users Developers.IO PHPアプリケーション

こんにちは。望月です。 AWS上でシステムを構築する上で、「AWSのお作法に従う」のは印象以上に重要です。お作法に関しては色々とあるのですが、 *1その中でも一番大きいのは「サーバーは故障するものという前提で設計する」ことにあると思います。例えば、以下の様な点です。 WebサーバやAPサーバなどはロードバランサを介して冗長化し、単一障害点ではなくす保管する必要のあるデータは全てS3に保管するか、... 続きを読む

Cookie使ったセッション管理も認可だと思うわって話 - r-weblife

2014/02/03 13 users r-weblife 認可 cookie OAuth ritou

こんばんは、ritouです。OAuthが認可の仕組みだっていうのはだいぶ広まった感ありますね。でも、なんかまだしっくりこないっていう人いると思います。その理由の一つとして、Webアプリケーションでよく使われている”Cookieを使ってログインセッションを保持する”しくみ、あれが一般的に認証って言われてるせいじゃないかと思ったりします。こいつ、OAuthと同じで、途中で認証もしてるけど、全体で見ると... 続きを読む

Web アプリケーションの認証とセキュリティに関して教えて下さい - QA@IT

2013/03/19 47 users QA@IT アプリケーション Rails RESTful 認証

こんばんは。Web アプリケーションの認証とセキュリティに関して教えて下さい。 Rails のセッション管理 Rails は RESTful な Web アプリケーションの構築を可能にするとは言っていますが、実態としてはサーバーサイドに保持し、セッション ID は Cookie に保存しているものだと思っています（Rails の経験が殆ど無いので間違っていたらすみません）。で、最近こちらの記事を... 続きを読む

セッションアダプション脆弱性がないセッション管理が必要な理由

2012/12/10 30 users 理由

徳丸さんから「ブログ読みました。サンプルも動かしました。問題は分かるのですが、セッションアダプションがないPHPだと、何が改善されるのかが分かりません。教えて下さい」とあったのでツイッターで返信するには少し長いのでこちらに書きます。まだ直していない脆弱性を詳しく解説するのはあまりよくないのですが、今なら影響を受けるアプリはほぼないと思うので構わないでしょう。まず前提として、Webサーバと同様に... 続きを読む

MemcachedでPHPのセッション管理 on AmazonEC2 « Linux練習帳

2012/10/13 122 users ユーザサーバセッション保持 Webサーバ

複数のWebサーバでロードバランス環境を構築するとき、セッション情報の保持を考慮しなければならない。初期設定のPHPは、セッション情報をファイルとして保持しているため、異なるWebサーバに処理が割り振られるとセッション情報が消失してしまうからだ。こういった環境においてセッションを維持する方法は2つある。セッション維持方法同じユーザは同じサーバに割り振るセッション情報をサーバ間で共有する 1の... 続きを読む

Redisの可能性を拡大する。Redis用Apacheモジュール「mod_redis」 - MOONGIFT|オープンソース・ソフトウェア紹介を軸としたITエンジニア、Webデザイナー向けブログ

2012/04/17 20 users MOONGIFT redis プロトコルサーバ通信

Redisはセッション管理をはじめKVSとして便利に使われていますが、プロトコルが独特であるためにサーバとの通信くらいにしか使われていません。そこでJavaScriptからでもRedisを使いやすくするmod_redisを使ってみましょう。 0 続きを読む

PHPのセッションアダプション脆弱性克服への道のり

2011/12/05 48 users PHP 道のりセッションアダプションコーディングエントリ

PHP Advent Calender用のエントリです。 PHPのセッション管理は非常に簡単です。セッションをsession_start()で開始して$_SESSION配列を使うだけです。便利で簡単なセッションモジュールですがセッションアダプションに脆弱であるため、一般に言われてる「ログインする時にはsession_regenerate_id()を呼ぶ」コーディングではセッションアダプションに脆弱... 続きを読む

実は厄介、ケータイWebのセッション管理（1/3） − ＠IT

2011/05/26 523 users 厄介性善説ケータイWeb 徳丸浩セキュリティ

第3回実は厄介、ケータイWebのセッション管理京セラコミュニケーションシステム株式会社ネットワークサービス事業本部技術顧問徳丸浩 2011/5/26 “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのある... 続きを読む

HOME - 「体系的に学ぶ安全なWebアプリケーションの作り方」サポートページ

2011/02/28 35 users WebアプリケーションＨＯＭＥ http 作り方徳丸浩

著者: 徳丸浩発売日: 2011年3月1日 ISBN: 978-4-7973-6119-3 出版社: ソフトバンククリエイティブ価格: ￥3,360(税込み) →出版社のサイト →Amazonで購入する目次1章 Webアプリケーションの脆弱性とは2章実習環境のセットアップ3章 Webセキュリティの基礎～HTTP、セッション管理、同一生成元ポリシー4章 Webアプリケーションの機能別に見るセ... 続きを読む

携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem(徳丸浩)の日記

2009/07/13 520 users ockeghem Session 徳丸浩索引本書

■携帯電話向けWebアプリのセッション管理はどうなっているか最近購入したPHP×携帯サイト実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムの... 続きを読む

プログラマの思索: Webアプリのセッション管理はデスクトップアプリのメモリ管理と同じ

2008/02/24 326 users デスクトップアプリ思索 Ajax プログラマアーキテクチャ

Webアプリ開発で必ずぶち当たる課題、Webアプリ特有の技術、アーキテクチャについて考えてみる。古くから続く課題を知れば、次世代Webフレームワークがどのように解決しようとして、何を提示しようとしているか分かりやすくなるだろう。＃以下、セキュリティ関係などを除く。 Webアプリは、Ajaxが登場するまで、UIがブラウザで制限されているため、それほど難しい機能を実装できなかった歴史があった。古... 続きを読む

PHPで安全なセッション管理を実現する方法 - いしなお! (2006-08-25)

2006/08/25 370 users PHP 方法

_ 残り容量が数十Mバイトになっていた PCがなんかくそ遅いなーと思ってふと空きディスク容量をみたら、残り数十Mバイトまで減っていた。Folder Size for Windowsで各ディレクトリ単位のディスク使用量をながめてみたところ、 Thunderbirdでimapでアクセスしているアカウントのデータフォルダに、なぜか1GバイトオーバーのINBOXファイルがあった。なにこれ？　削除したけど別... 続きを読む

(1 - 25 / 27件)

次の25件 »