SPAセキュリティ入門 by 徳丸 浩 | トーク | PHP Conference Japan 2021 #phpcon #phpcon2021 #php - fortee.jp

2021/09/08 264 users phpcon localStorage 徳丸 SPA PHP

シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、... 続きを読む

ニコニコ生放送の配信基盤改善

2015/02/19 292 users ニコニコ生放送 erlang Twitter ドワンゴ 普及

Transcript 1. ニコニコ生放送の 配信基盤改善 Developers Summit セッションID：19-A-6 ハッシュタグ：#devsumiA 2015年2月19日 谷内 崇浩 株式会社ドワンゴ 2. 初めまして 谷内 崇浩 （やち たかひろ） ドワンゴで配信システムを開発 C++を使った配信サーバの 開発が得意 最近はErlangの普及に熱心 twitter: @gny... 続きを読む

CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった

2014/02/19 388 users Hidden いい時代 脅威 パク 前提

概要 http://co3k.org/blog/csrf-token-should-not-be-session-id について。 この記事では触れられていませんが、 むかし、セッションIDをHTMLソース中に埋め込んでも脅威は変わらないと主張した人がいました 正確には「hiddenの値のみ漏れやすいような特殊な脆弱性が無ければ」という前提であったけれど、実際にそのようなバグはあったし、予見されて... 続きを読む

DSAS開発者の部屋:PHPのセッションIDは暗号論的に弱い乱数生成器を使っており、セッションハイジャックの危険性がある

2014/01/06 143 users PHP 訳者 DSAS開発者 Full Disclosure

下記の文章は、PHPのセッションIDに対する攻撃についてFull Disclosure MLに2010年に投稿された文章を和訳したものです。訳者の意見としては、攻撃の成立条件は極めて厳しく、そこまで深刻度は高くないと考えています。 とはいえ、疑似乱数列への攻撃がどのように行われるのか、その可能性を示す文章は比較的珍しいもののように思います。暗号論的に安全な疑似乱数とは何か、なぜ必要なのかといった内... 続きを読む

携帯業界の認証事情 - y-kawazの日記

2007/02/25 259 users y-kawaz 高木浩光 注釈 口調 エントリー

巡回サイトの一つである高木浩光＠自宅の日記で以下のようなエントリーがあった。高木浩光＠自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのかここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。確かにWEB+DBの記事に対して高木氏が注釈で... 続きを読む