SPAセキュリティ入門 by 徳丸 浩 | トーク | PHP Conference Japan 2021 #phpcon #phpcon2021 #php - fortee.jp

2021/09/08 264 users localStorage phpcon 徳丸 SPA トークン

シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、... 続きを読む

Go製のUnique ID Generator「xid」について - Qiita

2017/12/06 21 users Qiita xid UUID Snowflake Go製

この記事は Go3 Advent Calendar 2017 の6日目の記事です。 はじめに DBに保存するデータのIDやセッションIDなどの一意なIDを、分散したWebアプリ上で発行することで、発行処理をスケールさせたいといったケースがあります。 そういったケースでは、UUIDやSnowflakeなどの使用例が良く紹介されています。 この記事では、Go製のライブラリで、Goアプリから簡単に使用で... 続きを読む

シャープのロボット掃除機、第三者が遠隔操作できる恐れ （ITmedia NEWS） - Yahoo!ニュース

2017/11/16 10 users 遠隔 Yahoo 第三者 ITmedia News ニュース

シャープのロボット掃除機「COCOROBO」を第三者が遠隔操作できる可能性があると、情報処理推進機構（IPA）とJPCERTコーディネーションセンターが11月16日に注意喚起した。ファームウェアを最新版へアップデートするよう呼び掛けている。 【対象バージョンの一覧】 　発表によれば、COCOROBOのユーザーを区別する「セッションID」の管理に不備があった。同じLAN内の第三者がセッションIDを偽... 続きを読む

ニコニコ生放送の配信基盤改善

2015/02/19 292 users ニコニコ生放送 erlang Twitter ドワンゴ 普及

Transcript 1. ニコニコ生放送の 配信基盤改善 Developers Summit セッションID：19-A-6 ハッシュタグ：#devsumiA 2015年2月19日 谷内 崇浩 株式会社ドワンゴ 2. 初めまして 谷内 崇浩 （やち たかひろ） ドワンゴで配信システムを開発 C++を使った配信サーバの 開発が得意 最近はErlangの普及に熱心 twitter: @gny... 続きを読む

とあるECサイトのアクセス制御不備 | 徳丸浩の日記

2014/03/28 96 users エントリ 徳丸浩 クッキー 商売柄 侵入事件

2014年3月28日金曜日 とあるECサイトのアクセス制御不備 商売柄、脆弱性や侵入事件のニュースがあると背景を調べることが多いのですが、このエントリは、侵入されたサイトを見に行って発見した脆弱性のお話です。 とあるECサイトが外部から侵入されたというニュースを見て、再開後のECサイトを見に行きました。普通に会員登録してログインしてみると、セッションIDの他に気になるクッキーが発行されていました（... 続きを読む

CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった

2014/02/19 388 users Hidden いい時代 パク 脅威 前提

概要 http://co3k.org/blog/csrf-token-should-not-be-session-id について。 この記事では触れられていませんが、 むかし、セッションIDをHTMLソース中に埋め込んでも脅威は変わらないと主張した人がいました 正確には「hiddenの値のみ漏れやすいような特殊な脆弱性が無ければ」という前提であったけれど、実際にそのようなバグはあったし、予見されて... 続きを読む

DSAS開発者の部屋:PHPのセッションIDは暗号論的に弱い乱数生成器を使っており、セッションハイジャックの危険性がある

2014/01/06 143 users PHP 訳者 DSAS開発者 Full Disclosure

下記の文章は、PHPのセッションIDに対する攻撃についてFull Disclosure MLに2010年に投稿された文章を和訳したものです。訳者の意見としては、攻撃の成立条件は極めて厳しく、そこまで深刻度は高くないと考えています。 とはいえ、疑似乱数列への攻撃がどのように行われるのか、その可能性を示す文章は比較的珍しいもののように思います。暗号論的に安全な疑似乱数とは何か、なぜ必要なのかといった内... 続きを読む

Twitterにハッカー攻撃！　約25万アカウントが対象 : ギズモード・ジャパン

2013/02/02 8 users Twitter ハッカー ギズモード twitter社 攻撃

Twitter , Webサービス Twitterにハッカー攻撃！　約25万アカウントが対象 2013.02.02 16:20 Twitterがハッキングされた！ Twitterを使っている読者の皆さん、パスワードの再設定をオススメします。Twitter社がハッカーの攻撃を受けて、約25万アカウントのユーザーネーム、eメールアドレス、セッションID、 暗号化されたパスワード情報に不正アクセスされた... 続きを読む

Twitter不正アクセスを他人事にしない！ いま頼りにすべきは「パスワード管理ツール」 : ライフハッカー［日本版］

2013/02/02 23 users ライフハッカー パスワード管理ツール 日本版 ソフトウェア

Twitter , Webツール , セキュリティ , ソフトウェア , メンテナンス , 最新テック Twitter不正アクセスを他人事にしない！ いま頼りにすべきは「パスワード管理ツール」 2013.02.02 15:00 調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。 上記に一部引用した通り、Tw... 続きを読む

Twitter、25万人のパスワードを含む個人情報漏えいの可能性 - ITmedia ニュース

2013/02/02 26 users Twitter 米Twitter 攻撃 該当ユーザー 新規作成

Twitterが「とても洗練された攻撃」を受け、約25万人のユーザー情報にアクセスされた可能性があるとして、該当ユーザーにパスワードの新規作成を求めるメールを送った。 米Twitterは2月1日（現地時間）、「とても洗練された攻撃」を受け、約25万人のユーザー情報にアクセスされた可能性があると発表した。アクセスされたのは、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードという。 ... 続きを読む

携帯業界の認証事情 - y-kawazの日記

2007/02/25 259 users y-kawaz 高木浩光 注釈 口調 エントリー

巡回サイトの一つである高木浩光＠自宅の日記で以下のようなエントリーがあった。高木浩光＠自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのかここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。確かにWEB+DBの記事に対して高木氏が注釈で... 続きを読む

高木浩光氏による「安全なWebアプリ開発の鉄則2005」(pdf)

2006/01/18 67 users PDF 高木浩光氏 CSRF Webアプリ開発 防御

Internet Week 2005 チュートリアル 2005年12月8日 配布資料 目次 • Webアプリの基本的な構成 – セッションIDによるセッション追跡 – セッションIDの配置 安全なWebアプリ開発の鉄則2005 独立行政法人産業技術総合研究所 情報セキュリティ研究センター • セッション追跡に対する攻撃と防御 – セッションハイジャック – セッションライディング（CSRF:クロ... 続きを読む