はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ セッションID

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 7 / 7件)
 

SPAセキュリティ入門 by 徳丸 浩 | トーク | PHP Conference Japan 2021 #phpcon #phpcon2021 #php - fortee.jp

2021/09/08 このエントリーをはてなブックマークに追加 264 users Instapaper Pocket Tweet Facebook Share Evernote Clip localStorage phpcon 徳丸 SPA トークン

シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、... 続きを読む

ニコニコ生放送の配信基盤改善

2015/02/19 このエントリーをはてなブックマークに追加 292 users Instapaper Pocket Tweet Facebook Share Evernote Clip ニコニコ生放送 erlang Twitter ドワンゴ 普及

Transcript 1. ニコニコ生放送の 配信基盤改善 Developers Summit セッションID:19-A-6 ハッシュタグ:#devsumiA 2015年2月19日 谷内 崇浩 株式会社ドワンゴ 2. 初めまして 谷内 崇浩 (やち たかひろ) ドワンゴで配信システムを開発 C++を使った配信サーバの 開発が得意 最近はErlangの普及に熱心 twitter: @gny... 続きを読む

とあるECサイトのアクセス制御不備 | 徳丸浩の日記

2014/03/28 このエントリーをはてなブックマークに追加 96 users Instapaper Pocket Tweet Facebook Share Evernote Clip エントリ 徳丸浩 クッキー 商売柄 侵入事件

2014年3月28日金曜日 とあるECサイトのアクセス制御不備 商売柄、脆弱性や侵入事件のニュースがあると背景を調べることが多いのですが、このエントリは、侵入されたサイトを見に行って発見した脆弱性のお話です。 とあるECサイトが外部から侵入されたというニュースを見て、再開後のECサイトを見に行きました。普通に会員登録してログインしてみると、セッションIDの他に気になるクッキーが発行されていました(... 続きを読む

CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった

2014/02/19 このエントリーをはてなブックマークに追加 388 users Instapaper Pocket Tweet Facebook Share Evernote Clip Hidden いい時代 パク 脅威 前提

概要 http://co3k.org/blog/csrf-token-should-not-be-session-id について。 この記事では触れられていませんが、 むかし、セッションIDをHTMLソース中に埋め込んでも脅威は変わらないと主張した人がいました 正確には「hiddenの値のみ漏れやすいような特殊な脆弱性が無ければ」という前提であったけれど、実際にそのようなバグはあったし、予見されて... 続きを読む

DSAS開発者の部屋:PHPのセッションIDは暗号論的に弱い乱数生成器を使っており、セッションハイジャックの危険性がある

2014/01/06 このエントリーをはてなブックマークに追加 143 users Instapaper Pocket Tweet Facebook Share Evernote Clip PHP 訳者 DSAS開発者 Full Disclosure

下記の文章は、PHPのセッションIDに対する攻撃についてFull Disclosure MLに2010年に投稿された文章を和訳したものです。訳者の意見としては、攻撃の成立条件は極めて厳しく、そこまで深刻度は高くないと考えています。 とはいえ、疑似乱数列への攻撃がどのように行われるのか、その可能性を示す文章は比較的珍しいもののように思います。暗号論的に安全な疑似乱数とは何か、なぜ必要なのかといった内... 続きを読む

携帯業界の認証事情 - y-kawazの日記

2007/02/25 このエントリーをはてなブックマークに追加 259 users Instapaper Pocket Tweet Facebook Share Evernote Clip y-kawaz 高木浩光 注釈 口調 エントリー

巡回サイトの一つである高木浩光@自宅の日記で以下のようなエントリーがあった。高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのかここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。確かにWEB+DBの記事に対して高木氏が注釈で... 続きを読む

高木浩光氏による「安全なWebアプリ開発の鉄則2005」(pdf)

2006/01/18 このエントリーをはてなブックマークに追加 67 users Instapaper Pocket Tweet Facebook Share Evernote Clip PDF 高木浩光氏 CSRF Webアプリ開発 防御

Internet Week 2005 チュートリアル 2005年12月8日 配布資料 目次 • Webアプリの基本的な構成 – セッションIDによるセッション追跡 – セッションIDの配置 安全なWebアプリ開発の鉄則2005 独立行政法人産業技術総合研究所 情報セキュリティ研究センター • セッション追跡に対する攻撃と防御 – セッションハイジャック – セッションライディング(CSRF:クロ... 続きを読む

 
(1 - 7 / 7件)