「安全なWebアプリケーションの作り方」を読んでセッションを復習してみた - As a Futurist...
タイトルが長くて略称があれば知りたい感じの「安全な Web アプリケーションの作り方」を暇を見つけて読んでいます。今まであいまいなままだった部分を順を追って説明してくれるので、本当に助かります。Web アプリ作りの初心者は卒業したかなーという人は必ず目を通しておくと良いと思います。 Cookie を用いたセッションについて復習 「HTTP はステートレスで」とかいう話はよく聞きますが、じゃあどうやってセッション管理するのがいいの?って話をよく考えると体系的に聞いたことがなかった!というわけで、この本で文字通り体系的に学び直すことができました。 その中でも、「セッション ID の固定化」という話題はちゃんと分かってなかった部分があったので、こちらのサイトを参考に PSGI なアプリケーションを作ってみました(僕の書いたアプリ自体はその他の脆弱性に溢れていますがw)。コードはエントリの最後に。
パソコンちょこっとメモ | Windowsユーザのためのちょっとしたメモです
※最終通知のお知らせ 管理番号:21SHA 株式会社セキュリティーポイントの青山と申します。 弊社はこの度、お客様の携帯端末よりご登録中のサイト運営会社様から依頼があり、ご連絡をさせていただきました。以前にご登録されましたサイトにおけます、ご使用についての有無を確認させていただきたいので至急ご連絡くださいますようお願いいたします。~~中略~~※尚、本通知は最終通告となります。身辺調査の開始、裁判費用等はお客様を含め、ご自宅・お勤め先・一親等の身内への満額請求となる場合がございます。 ご相談・大会手続等をご希望でしたら上記の依頼番号をご確認の上、本日営業時間内に至急ご連絡ご相談ください。 株 セキュリティーポイントTEL:03-6734-6931 担当:青山美紀 もちろん、身に覚えは全くありません。 迷惑メール・架空請求メールの類だと思われますが、 こういうメールをうけとったときに「このメー
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
