やさしいセキュリティ講座(8) トラッキングCookie
やさしいセキュリティ(トラッキングCookie) スパイウェアの分類の1つに「トラッキングCookie(トラッキング・クッキー)」というものがあります。このトラッキングCookieがどのようなもので、どのように利用されているのかを説明します。 トラッキング トラッキングCookieの「トラッキング」とはインターネット用語的に言うと「行動追跡」という意味になります。足跡を判断するというような意味でしょう。では、どのような仕組みでユーザの追跡を行うのか次の図を見てください。 ここで「広告サーバ」はブラウザで表示されているページの中にあるバーナー広告を提供しているサーバを指します。 最初にAというサイトを訪れたとき、広告サーバは自社のCookieの有無を調べます。 Cookieが無ければ、新たにIDを割り当ててCookieを保存させます。 このとき広告サーバにはIDとAサイトの
JavascriptのMath.random()でユーザートラッキングができるという話 - kogelab::memo
表題の件について。 地味な話ですが、javascript(というかECMAの仕様)にあるMath.random()には、乱数のシードを与える方法が無いようです。 そんなわけで、われわれ一般市民は各ブラウザが独自に実装している、謎のシードで初期化された謎のアルゴリズムで作られた乱数を通常使うわけですが。 Mozillaからこんなの出てた。 曰く、Math.random()のシードによる初期化は、ブラウジングセッションごとに1度しか行われないと。 で、シードはまあ、かぶる率そんなに高くなさそうなので、そのシードをUSERの(擬似的な)ID代わりにしてしまえば、ユーザーのトラッキングができるよーん、とのこと。 はじめ読んだとき、「おおー、かっけー!」と思ったんですが、ちょっと待て。 シードって外から取れんのか。 というわけで、色々調べたところ、各ブラウザは(多分IEも)線形合同法による擬似乱数を
「セッション管理」のすべて
Webにアクセスして買い物をしたり,銀行口座に振り込んだりするといったことは今や当たり前。こういった便利なWebサイトを陰で支えているのが「セッション管理」だ。Webサイトでの処理が複数画面をまたいだときにきちんと引き継がれるようにする。ときには,間違った使い方をしたユーザーをフォローし,ネット上の脅威からユーザーを守る。Webアプリを実現するうえでネットワークに必須の「セッション管理」のすべてを理解しよう。 プロローグ [「セッション管理」って何だろう] 処理のつながりと状態を管理,Webアプリに必須のしくみ ステップ1 [基本のしくみ] Webブラウザに情報を預けて,アクセス時に送信させる ステップ2 [セキュリティ対策] セッションIDを暗号化,URL埋め込みは危険 ステップ3 [携帯電話のWebアクセス] パソコンとは異なるしくみ,URLの利用が一般的
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://blog.sojiro.me/blog/2014/09/13/stateful-and-stateless/
