タグ

2006年2月5日のブックマーク (5件)

  • PHPのSession Fixation問題

    (Last Updated On: 2006年10月24日)PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。 セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です

    PHPのSession Fixation問題

  • Googleでエロ画像検索する際の裏ワザ - エロ漫画家の日記 - 楽天ブログ(Blog)

    2006/02/04 Googleでエロ画像検索する際の裏ワザ (5) テーマ:エッチで恥ずかしい話好き!(0) カテゴリ:エロ いやまあ、知ってる人は知ってることなんだけど、googleの検索では、デフォルトでSafeSearchという機能がOnになっていて、sexとかセックスとかfuckとか入れても、きわどい画像はブロックされて出てこないようになっている。この設定はなぜか日語設定では変更できない、というか、そういうオプションがあること自体見えないようになっている。で、これを外すにはどうするか。 Googleの検索窓の横に「表示設定」という項目があるが、これを選んで、 Googleのメッセージを表示する言語 というメニューで「英語」を選び、「保存」というボタンをクリックする。すると 「検索設定を保存しました」というダイアログが表示され、OKをクリックすると英語表記のページが表示される。

    f-shin
    f-shin 2006/02/05
    (w、googleの検索オプションの秘密
    リンク

  • AjaxとPHPを使ったワンタイムパスワード方式のログイン認証:phpspot開発日誌

    JamesDam.com ? AJAX Login System Demo This is an example of a login system that does not require page refreshes, but is still very secure. Ajax+PHPでの画面遷移なしのログイン画面作成サンプルが公開されています。 フォームに、user1, pass1 を入力すると即時認証が行われ、次のようにログイン状態になります。 認証には、Ajaxを使ったワンタイムパスワード方式が使われます。 具体的には、Ajaxでサーバからチャレンジコードを取得し、チャレンジコードとパスワードをmd5でハッシュして、更にその値をサーバに送信し、認証を取ります。 このため、従来の方式よりは安全な認証が可能となります。 Ajaxが出てきたことで、ブラウザを開いたままの状態でインタ

  • cyano: mod_proxy_balancerで中〜大規模サーバー運用するときの勘所 - (4) mod_deflateと組み合わせる際の注意点編

    mod_proxy_balancerで中〜大規模サーバー運用するときの勘所 - (4) mod_deflateと組み合わせる際の注意点編 Apache2.2から、ロードバランシングをしてくれるmod_proxy_balancer というモジュールが標準添付になりました。 このモジュール、その名前の通り、ApacheレベルでHTTPリクエストをバックエンドのサーバーに振り分けることでロードバランシングをしてくれるモジュールです。 Apacheの公式ドキュメントや試しに入れてみた人のBlogなどは散見されますが、実際の現場で運用している事例というのはまだ無いようです。 そこで、実際にピーク時にover 500 request/secでmod_proxy_balancerなサーバーを運用している経験をふまえ、つまずいた点などを公開していきたいと思います。 今回は、mod_deflateと組み合わ

  • ブログサービスの設計思想とユーザ側の制約

    はてなではサービス全体で共通のログイン cookie を発行し、各種サービスの設定・編集やプライベートモードの閲覧、ログインコメントなどをパスワード入力なしで利用できるよう設計されています。そのため、*.hatena.ne.jp 内で任意の JavaScript が利用可能な場合、悪意あるユーザは他ユーザの cookie を取得してなりすまし、パスワードの入力が必要な退会・個人情報管理・ポイント操作を除く全ての操作を実行できます。 はてなダイアリーで JavaScript の自由な利用が制限されているのは、この危険に対処するためです。各種 SNS でユーザの自由なスクリプト利用が認められない理由も同様です。ログイン情報をユーザが保持していることを前提に設計されたサービスでは、避けられない問題なのです。 こうした事情は一般のユーザには理解されにくい(私も satoshii さんのご教示を受け

    f-shin
    f-shin 2006/02/05
    はてながどうかはわからないけど、一般論としてバランスは重要。原理主義の人を説得するときに使わせてもらいます。
    リンク

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.