【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog
はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-memory方式であり、XSSへの耐性のなさ等の理由でlocalStorageで保存することを推奨していない しかし、XSSでアクセストークンを奪取できるのはin-memory方式でも同じのはず(検証は行いませんでした)。localStorage方式を過度に忌避する必要はないのではないか なお、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用
gorilla/csrf で安全なWebフォームを作る - 小野マトペの納豆ペペロンチーノ日記
こんにちは。GoでWeb開発していますか?私はしていません。Goに限らず、既成のWebアプリケーションフレームワークを使わずに自前でWebフォームを作る場合、なにも考えずに書くと CSRF (Cross Site Request Forgery) 脆弱性を作りこみ、不正なユーザー操作を実行されてしまう可能性があります。 ダメな例 例えば以下のGoコードで作成されるフォームにはCSRF脆弱性があります。SubmitSignupForm ハンドラは、受け取ったリクエストが自分のサイト上のフォームからサブミットされたものかチェックしていないので、攻撃者が他のサイト上のフォームを使い、第三者のユーザーのブラウザで任意の操作を実行させることができてしまいます。 func main() { r := mux.NewRouter() r.HandleFunc("/signup", ShowSignupF
知っておいて欲しいこと3選
組みたて車両3台の直前準備でなかなか時間がない状況なのですが、乗る機会が増えてきましたので事前にトラブルに合いにくいよう、以前からの繰り返しにはなりますが、忘れておられる方も多いようなので知っておいて欲しいことを3つ書きます。 それは車体のねじボルト類が緩んでいないかの確認、エンジン始動時の手順、走行中にエンジンの調子が悪くなった時の対応について知っておいて欲しいことです。 納品時に詳しくお話ししておりますが、どうも皆さん納車時は頭に入らないようです。注文して長く待たされて納品ですから、そりゃ当然です。これはうちが悪い。 全ての旧車バイク、キャブレター付きの水冷車にも当てはまりますから必ず頭に入れておいて欲しいことです。 まず一つ目は旧車バイクは定期的にネジ、ボルト、ナット類が緩んでいないか確認が必要です。足回りなどに使われる大きなボルト、ナットのシャフト部分などはそれほど緩んだりしません
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
