CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対
ミステリとして食う「ハムレット」
「死ぬまでに読みたい」シリーズ。有名すぎる復讐劇だが、これをミステリとして読むと、緊迫した心理戦になる。 WhodoneitやHowdoneitは隠しようもなく描かれてしまっているから、Whydoneitを考えなおす。台詞の表層を裏読みし、一貫した別の動機をあぶりだす。ポイントはここ→「父の亡霊を信じたか/信じなかったか」この二択のどちらを選ぶかによって、王子ハムレットの台詞が、まるで違う様相を帯びる。「善いも悪いも、考えひとつ」と、価値観の相対性をうそぶくハムレット自身に、同じ相対性をつきつけるのだ。 もちろん流して読めば、父の亡霊から陰謀を知り、復讐に燃えるハムレットの葛藤の話になる。だが、二度読みされる方は、「亡霊を信じない」ハムレットという目で見るがいい。 すると、彼の葛藤は、母を奪った叔父への嫉妬が生んだ幻想になる。父の葬式と母の結婚式という、受け入れがたい現実を説明する物語の語
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Cat works on printer
