どうして JWT をセッションに使っちゃうわけ？ - co3k.org

2018/09/20 713 users JWT エントリ プログラマー セッション 挨拶

はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッションに使う事例が現実に観測されはじめ、周りにもそれが伝... 続きを読む

Composer のセキュリティ上の問題が直ったので PHP な方は今すぐ更新を - co3k.org

2014/03/03 104 users composer Issues PHP Issue な方

Composer の以下の問題が 2 月半ばあたりから話題になっていました。 Limit Replace / Provides to packages required by name in root package or any dep · Issue #2690 · composer/composer https://github.com/composer/composer/issues/26... 続きを読む

CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった

2014/02/19 388 users Hidden いい時代 パク 脅威 前提

概要 http://co3k.org/blog/csrf-token-should-not-be-session-id について。 この記事では触れられていませんが、 むかし、セッションIDをHTMLソース中に埋め込んでも脅威は変わらないと主張した人がいました 正確には「hiddenの値のみ漏れやすいような特殊な脆弱性が無ければ」という前提であったけれど、実際にそのようなバグはあったし、予見されて... 続きを読む

co3k.org - Blog - CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある

2014/02/17 187 users CSRF 文脈 アプリケーション 前提 リクエスト

CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。 いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求める... 続きを読む

co3k.org - Blog - Python 製の負荷試験ツール Locust を試してみた

2014/01/13 99 users Python Blog

Web の負荷試験ツールとして代表的なのは Apache JMeter だと思いますが、 Apache JMeter 自体が結構重いのと、テストシナリオの保守が GUI ツールでは結構ツライ (シナリオファイルは XML ですが、とても人間が手を加えられるような代物じゃない) なあということで代替となるものを探していました。 で、心惹かれたのが以下のツールです。 Gatling Tsung Loc... 続きを読む

co3k.org - Blog - PHP 5.3 でネイティブ関数の引数型エラー時の返り値が変更になったけど大丈夫？

2013/06/24 66 users ネイティブ関数 返り値 Blog プギャー 変更

PHP 5.5.0 リリースおめでとうございます。 タイミング的に PHP 5.5 の話だと読み間違えた方 (もしくは「こいつ間違って PHP 5.3 って書いてやがるプギャー」と思った方) におかれましては、このテキーラはサービスだから、まず飲んで落ち着いてほしい。 はい。ということで、驚くべきことに、いまから、真顔で、 PHP 5.3 の変更点の話をします。でも PHP 5.5 が出るにあたっ... 続きを読む