CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2011年1月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 橋口誠さんから今話題の書籍パーフェクトPHP (PERFECT SERIES 3)を献本いただきました。ありがとうございます。このエントリでは同書のCSRF対策の問題点について報告したいと思います*1。 本書では、CSRFの対策について以下のように説明されています(同書P338)。 CSRFへの対応方法は、「ワンタイムトークンによるチェックを用いる」「投稿・編集・削除などの操作の際にはパスワード認証をさせる」などがあります。一番確実な方法は両者を併用することですが、ユーザ利便性などの理由から簡略化する場合で
Mojolicious is changing the game - Sebastian Riedel about Perl and the Web
Good news, everyone! The Mojolicious community is growing quickly and we are now officially the first CPAN module to ever reach 300+ followers on GitHub. :) Bad news, everyone! Like all successful projects we also get criticised a lot, this time by one of our former core developers who decided not to keep his promises after leaving on good terms. Not unlike Catalyst back in the days, Mojolicious i
あなたが知らない git svn の世界 | Act as Professional
みんながいまだにsvnを使い続けるので、自分だけでもgitを使って幸せになってやる。って人のためのガイド。ツールや環境がsvnでがっちりつくられているとしかたないですねー。という状況の人向け。そこまでしてgitを使うのは早いし柔軟だから。マージもサクッと終わるし。 git svnって? svnをリモートリポジトリとして、ローカルではgitを扱うためのもの。gitインストールすれば大抵はいってるけど、macportsだったらこんな感じでインストール。 $ sudo port install git-core +svn gitローカルリポジトリをつくる gitは分散リポジトリなので、まずはローカルにリポジトリを持つところからスタート。 $ git svn clone -s http://svn.server/path/project これでsvnリポジトリのcloneをローカルにつくる。これで
東北大学生が行方不明という情報について
@yuunety mixiから転載【拡散お願いします】「東北大学理学部化学科」の「4年生」の方。10日から連絡の取れないまま、藤井のどかさんが行方不明になりました。家族、友人、同級生等必死で何かしらの情報を探しています。広めて協力してください! 2011-01-24 22:27:42 @yuunety mixiから転載。仙台中央警察署連絡先は022−222−7171→【拡散希望】「東北大学理学部化学科」の「4年生」、「藤井のどか」さんが1月10日から行方不明とのこと。最後の目撃時には白のダウンジャケット着用、体格は身長156センチ前後。情報お持ちの方は仙台中央署まで。 2011-01-24 23:00:23
Perl公式ドキュメント日本語版
このサイトは Perl の公式ドキュメントを日本語翻訳したものを表示するサイトです。翻訳データは、perldocjp project からとってきたものです。 類似のものに perldoc.jp がありますが、それよりもみやすくなるようにがんばってみました。 ドキュメント一覧 概要(overview) perl - Perl の概要 perlrun - perl コマンドの実行とオプションについて チュートリアル perldebtut - デバッグのチュートリアル perlopentut - Perl でいろんなものを開くためのチュートリアル perlpacktut - pack と unpack のチュートリアル perlreftut - Mark によるリファレンスに関するとても短いチュートリアル perlretut - Perl の正規表現のチュートリアル perlt
セレンディピティ - Wikipedia
この記事には参考文献や外部リンクの一覧が含まれていますが、脚注による参照が不十分であるため、情報源が依然不明確です。 適切な位置に脚注を追加して、記事の信頼性向上にご協力ください。(2017年11月) セレンディピティ(英語: serendipity)とは、素敵な偶然に出会ったり、予想外のものを発見すること[1]。また、何かを探しているときに、探しているものとは別の価値があるものを偶然見つけること。平たく言うと、ふとした偶然をきっかけに、幸運をつかみ取ることである。 「serendipity」という言葉は、イギリスの政治家にして小説家であるホレス・ウォルポール[注 1]が1754年に生み出した造語であり、彼が子供のときに読んだ『セレンディップの3人の王子 (The Three Princes of Serendip)』という童話にちなんだものである。セレンディップとはセイロン島、現在のスリ
「AndroidにJavaコードを流用か?」の報道が出るも専門家は一蹴、しかしFUDは広まる
結論はこうだ。「Androidに、Javaからのコード流用の疑念が提出されたが、両者のコードを比較した結果、明らかな流用は発見できなかった」。この一連の経緯を振り返ってみよう。 (本記事は、ゲストブロガーのITジャーナリスト 星暁雄氏による投稿です) デコンパイルでソースを復元、比較 知的所有権問題のコンサルタントが「AndroidにJavaのコードが混在か?」という内容のBlog記事を書いた。記事の内容は、ComputerWorldやEngadgetに紹介された。読んだ人は「Googleはまずい事をしでかしたものだ」との印象を持ったことだろう。Googleは、AndroidがJavaの特許と著作権を侵害しているとしてOracleから訴えられている最中だからだ。だが、記事を読んだプログラマが「結論としてJavaコードの盗用の事実はない」ことを明らかにした。 火種となったのは、Florian
ngrepを使ってみた - Shohei Yoshida's Diary
Furlの問題を調べるときに、ソースコードに手を入れたのですが、 さすがにそんなことやってられないだろってことでツールがないか調べてみた ところ、ngrepというのが簡単に使えそうだったので、それについて書きます。 wiresharkなんかでもできるんだろうけど、お手軽ではなさそうだったので 今回はパス。本格的に調べたいときはそちらの方がいいと思うんですけどね。 インストール パッケージにありますので、それを使います。 % sudo port install ngrep (Mac Ports) % sudo aptitude install ngrep (Ubuntu 10.10) 依存ライブラリも大して多くないので、問題なくインストールできる かと思います。 利用する この手のツールは全然詳しくないのですが、tcpdumpと似ていると思います。 HTTPの送信ヘッダを見る場合は以下のよう
父親産休+育休で休みます | 秋元@サイボウズラボ・プログラマー・ブログ
明日より産前休暇でお休みをいただきます。4月中旬に予定している復帰まで、この社員ブログの更新を停止させていただきます。 休暇休業中の活動について 会社がお休みの間でも個人の活動は(育児等で細切れになりますが)継続します。そちらについては個人ブログのサイドバー等をごらんいただければ幸いです。 # もし本とか書かせてくれる話があれば、ちょうど育児の間の細切れな時間に合いそうなんですが…(別に父親育児の本じゃなく) せっかくなので、父親と育休・産休についてちょっと書いてみますね。まだそんなに一般的ではないみたいなので、他にやってみようと思う方の参考になればと思います。もし大きな間違いや勘違いがあれば教えてください。 男性の産前休暇 産前休暇というのは、子供が生まれる前に取る休みです。女性の場合は、出産の直前まで働いたりすると母子ともに危険なので、法律で強制的に休まされます。働けないと収入も途切れ
Cのコールバック関数をC++のメンバ関数にバインディングする方法 - kazuhoのメモ置き場
たとえば libevent のような C 言語でかかれたイベント駆動型のライブラリを C++ から使っていると、C++ のメンバ関数をコールバックとしてセットできたらうれしいことが多いですよね。以下のようにすればできます。 たとえば、コールバック関数をセットする関数の型が、 void set_foo_callback(void (*)(void* cb_arg), void* cb_arg); なら、以下のようにクラスとメンバ関数を引数にとるテンプレート関数を定義し、 template <typename T, void (T::*FUNC)()> void to_foo_callback(void* cb_arg) { T* obj = reinterpret_cast<T*>(cb_arg); (obj->*FUNC)(); }以下のように受け渡せばいい。 class K { publ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
showmetheco.de steht zum Verkauf
22年度卒業研究発表会→判定会議→謝恩会 - Mochi's-Multitasking-Blog