CSRF脆弱性対策 - monjudoh’s diary
CSRF対策のtokenはセッションIDで良い セキュリティ的にワンタイムトークン>セッションIDではない。 という話が、この辺の記事に書かれています。 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか? 肝はこういう事のようです tokenは外部のサイトから知り難い(実質知り得ない)ものでないといけない セッションIDはcookieに格納される document.cookieは自ドメインのものと親ドメインのものしか見れない→外部サイトで動かすJavaScriptからは参照できない セッションIDは『暗号学的に安全な擬似乱数生成系で生成されているはず』(引用) 推測も事実上できない 補足すると、セッションIDを使用したCSRF対
非公式RTが抱える問題点
twitterの話です。 公式RTが抱える問題点: 304 Not Modifiedを読んで。 http://maname.txt-nifty.com/blog/2010/01/rt_problems.html 1.チェーンテキストの温床になりやすい。元ソースが確認できない(in_reply_to_status_idが無くなりPernalinkが失われる)ので、いくらでもデマが流せる。また、改竄できる。 これが一番大きな問題。 2.自分に向けられているわけではない発言が、replyタブに入ってくる。非公式RTの表記がRT: @userid ~~~~ という形式である事が多いため、replyが発生する。特に連鎖RTしていると、直接@を飛ばすわけでは無いため敬意や責任感の無い発言が、元発言者や経由発言者に届く。非公式RTで会話しているユーザーがいると、それが何度も繰り返される。 3.見たくない
はてなサービスで最低限守っていきたい事 - jkondoの日記
「京都オフィスを3倍に増床する」というプレスリリースが出ましたが、はてなはいま変革の時期にあります。2008年に京都へ移ってきて2年半が経ち、その間メンバーの採用や入れ替わりもありましたが、7月から実質的に新体制で新しい戦略に向かって進み始めています。良い機会ですので、今後はてなのサービスを提供していくにあたって、最低限守っていきたいことを紹介したいと思います。 使って満足 使って安心 速くて安定したサービス 最低限この3つを守っていきたいと思います。 1. 使って満足 まず第一に「使って満足」。ユーザーの皆さんに使って満足して頂けるサービスであることが基本中の基本です。もちろん今までもこれを心がけてやってきましたが、改めてこの「使って満足」を一番の基本に置きたいと思います。 サービスを長く提供していると、ユーザーさんとの距離や感覚がだんだん離れてしまう事があります。ふと気付くとサービス提
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
