どうして JWT をセッションに使っちゃうわけ？ - co3k.org

2018/09/20 713 users JWT エントリ プログラマー セッション 挨拶

はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッションに使う事例が現実に観測されはじめ、周りにもそれが伝... 続きを読む

Composer のセキュリティ上の問題が直ったので PHP な方は今すぐ更新を - co3k.org

2014/03/03 104 users composer Issues PHP Issue な方

Composer の以下の問題が 2 月半ばあたりから話題になっていました。 Limit Replace / Provides to packages required by name in root package or any dep · Issue #2690 · composer/composer https://github.com/composer/composer/issues/26... 続きを読む

CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった

2014/02/19 388 users Hidden いい時代 パク 脅威 前提

概要 http://co3k.org/blog/csrf-token-should-not-be-session-id について。 この記事では触れられていませんが、 むかし、セッションIDをHTMLソース中に埋め込んでも脅威は変わらないと主張した人がいました 正確には「hiddenの値のみ漏れやすいような特殊な脆弱性が無ければ」という前提であったけれど、実際にそのようなバグはあったし、予見されて... 続きを読む

co3k.org - Blog - CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある

2014/02/17 187 users CSRF 文脈 アプリケーション 前提 用途

CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。 いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求める... 続きを読む