おさかなラボ - hiddenにセッションIDを埋めるのは本当に安全なのか
高木浩光@自宅の日記 お忙しいようですが、以前僕が触れたCSRF対策に関係するので言及を許してください。最近立て続けにツッコミを入れているので心苦しいのですが……。 以前高木氏がCSRF対策について「セッションIDをhiddenに入れればよい」と書かれました。その時僕は「キャッシュに残ると危険だ」という理由「など」でその対策は適切ではないと主張した(CSRF対策法と効果参照)が、僕と同様の主張に対して以下のような反駁があった。 cacheが残るのは脆弱性か まず、cacheは禁止するのが当然であり、cacheを禁止してもcacheに残る場合というのは、Webアプリケーションの責任ではない。残るような製品の脆弱性である。 「cacheの禁止」というのは「Pragma: no-cacheやCache-Control: no-cache」などのサーバーからUAへの指示のことだと解釈した
J4P5: Javascript For PHP 5
Introduction J4P5 is a JavaScript interpreter written in PHP 5, that allows to run untrusted scripts in a sandbox on your server. It aims to implement most of Ecma-262 3d edition. J4P5 uses a modified version of the CFG parser of the MetaPHP project, and is licensed under the GPL This project is new. The current version already exposes most of the features commonly associated with JavaScript, such
lylina rss aggregator
is a RSS/Atom feed aggregator loosely based on it's predecessor, lilina. Although it features a similar interface, making it an easy upgrade and quite familiar to lilina users, it improves upon the formula with the addition of a much faster MySQL backend and a much more streamlined cron-based update system. It also adds optional multi-user support, allowing for each user to login and see a customi
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
