令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
note の Aurora MySQL を v2 から v3 へアップグレードしました|tic40
note ではメインデータベースとして Aurora MySQL を採用し、日々発生する膨大なトラフィックを処理しています。Aurora MySQL v2 (MySQL 5.7 互換) の標準サポートは2024/10/31 に終了するため、これを機に v3 (MySQL 8.0 互換) へのアップグレードを行いました。 アップグレードは無事に完了しましたが、いくつかの問題にも直面しました。これらを共有することで、これからアップグレードを検討している方へ参考になればと思います。 事前に検討した課題アップグレード後に致命的な問題が起きたらどうするかv3 へのアップグレード後に v2 へ切り戻すことは容易ではなく、スナップショットなどからの復元が必要になります。データをロールバックすることになるため、ユーザ影響が極めて大きく避けたい事態です。 そのため、基本的に切り戻しはできないという前提でアッ
RTA走者が利用するバグ技がセキュリティ分野で注目され始める! - ナゾロジー
ゲームの最速クリアを目指す動画(RTA)では、よく理解を超えた謎のバグを利用してありえないクリアタイムを叩き出すことがあります。 実はこの特殊なバグは、専門的な情報分野でもかなり注目に値するものだったようです。 イギリスのブリストル大学(UoB)で行われたスーパーマリオシリーズを対象にした研究により、RTA走者のバグを利用しようとする情熱が、一般のソフトウェアのセキュリティーを向上させたり、バグから守ってくれる可能性が示されました。 研究では4本のレトロなスーパーマリオ(初代、3、ワールド、64)のバグ技が調べられており、一般的なソフトウェアのバグとの関連性が調べられました。 結果、既存の分類に属さない7種類のバグが含まれていたことが判明します。 研究内容の詳細は2024年4月23日にプレプリントサーバーである『arXiv』にて「スーパーマリオ・イン・ザ・ペニシャス・キングダム:古いゲーム
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft、「MS-DOS 4.0」をオープンソース化
