他人のCookieを操作する - T.Teradaの日記
脆弱性検査をしていてしばしば出くわすのは、他人のCookieの値を操作できるとXSSやセッション固定等の攻撃が成功するようなWebアプリケーションです。 このようなアプリがあると、業界的には「Cookie Monsterという問題がありまして、、、でも、、、基本的に現状のブラウザではリスクは低いです」みたいな話がされることが多いのではないかと思います。 本日の日記では、それ(Cookie Monster)以外にも状況によっては考慮すべきことがある、という話をしたいと思います(過去の日記でも少し書いた話ですが、もう少しちゃんと書いておこうと思います)。 通信経路上に攻撃者がいる 被害者のブラウザとサーバの通信経路上に、アクティブな攻撃者がいると想定しましょう。 そのような状況では、攻撃者は正規のサーバになりかわってブラウザと通信をしたり、ブラウザと正規のサーバで交わされる通信に介入することが
Twitterが常時HTTPS接続を呼びかけ、ユーザー設定で対応
米Twitterは現地時間2010年3月15日、「Twitter.com」へのアクセスに常時HTTPS接続できる機能を追加した。これまでも「https://twitter.com」にアクセスすれば利用できたが、HTTPS接続を標準的な利用形態として推進していく狙いがある。 設定は、画面右上 の「Settings(設定)」を選び、「Account(ユーザー情報)」の一番下にある「HTTPS Only(HTTPSのみ)」の「Always use HTTPS(常にHTTPSのみを利用)」を有効にすればよい。 公衆無線LANなどを使っている際、アカウントのセキュリティが向上し、ユーザー情報が保護されるとしている。また将来的にはHTTPSをデフォルト設定にしたいと同社のCarolyn Penner氏は述べている。 なお、Twitterの各種機能やクライアントアプリケーションではユーザー設定にかかわら
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
