間違いだらけのHTTPセッション管理とその対策 | yohgaki's blog

2014/02/20 216 users yohgaki's blog 間違いだらけ バリデーション

HTTPセッション管理はWebセキュリティの中核と言える機能です。Webセキュリティの中核であるHTTPセッション管理に設計上のバグがある事は少なくありません。今回のエントリはPHP Webアプリ開発者ではなく、主にWebフレームワーク側の開発者、つまりPHP本体の方に間違いがあるという話しです。Webアプリ開発者の回避策も紹介します。 まずセキュリティの基本として「入力のバリデーションを行い、正... 続きを読む

PHP本体でタイミング攻撃を防御できるようになります | yohgaki's blog

2014/02/12 117 users yohgaki's blog サイドチャ アプリケーション

PHP 5.6からタイミング攻撃に対する対策が導入されます。メジャーなアプリケーションはタイミング攻撃対策が導入されていますが、PHP 5.6から簡単に対策できるようになります。 タイミング攻撃とは、コンピュータが動作する時間の違いを測って攻撃する手法です。コンピュータの動作時間、温度、音、電子ノイズ、電力使用量など、アルゴリズム自体の脆弱性を攻撃するのではなく副産物を利用する攻撃方法でサイドチャ... 続きを読む

PHP5.4のtraitを使ったシングルトンパターン実装によるtrait入門 - id:anatooのブログ

2011/07/07 102 users trait anatoo プロパティ オブジェクト指向言語

PHP5.4 alpha1がリリースされた。このリリースでは、PHPのオブジェクト指向言語の新たな機能としてtraitと呼ばれる機能が追加された。PHP5.4におけるtraitとは、型に影響を与えずにクラスに適用できるメソッドとプロパティの集合である。早速PHP5.4 alpha1をインストールし、PHP本体のtraitに関わるテストケースやtraitを実装したStefan Marr氏のスライドを... 続きを読む