Strict Session管理パッチ
(Last Updated On: 2018年8月13日)Hardedned PHPプロジェクトのStefan EsserさんがPHP SESSIONをより安全に運用するパッチを公開しています。 このパッチはPHPのセッション管理の問題に対応します。PHPのSESSIONモジュールがSession Fixation(セッションIDの固定化)に対して脆弱であることは随分前から広く(?)知られていました。このパッチを適用すればSession Fixation問題も随分改善します。 例えば、PHP SESSIONを利用しているサイトで http://example.jp/index.php と言うURLがクッキーを利用したセッション管理行っているとします。セッションデータが初期化されサーバに保存されているか、されていないかに関わらず、ブラウザが送信したクッキーによって指定されたセッションIDがそ
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
PHPのSession Fixation問題
(Last Updated On: 2006年10月24日)PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。 セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です
モバイルサイト構築前に知っておきたいユーザビリティ10のポイント(第1回) | モバイルサイト構築のユーザビリティいろは
端末特性に応じたユーザビリティの考え方最も身近で、どこでも気軽に使えるインターネット端末となった携帯電話。端末の急速な普及とハイスペック化にともない、携帯電話向けインターネットサービスによるマーケティングが各企業で本格的に取り組まれるようになっています。PC向けWebサイトと同様、携帯向けWebサイト(以降“モバイルサイト”)の構築においても当然、ユーザビリティの高いサイトを構築することが各企業のビジネスによい影響をもたらすことは必然です。 しかし、モバイルサイトでは、これまで各企業が構築・運用してきたPC向けWebサイトと比べると、画面サイズや1ページで表示できるページ容量制限、キャリアごとの違いなど、モバイルならではの制約があります。それらを踏まえたうえで、どうすればモバイルサイトでユーザーにメッセージを正確に伝えることができ、ストレスなく利用できるユーザビリティの優れたサイトを実現で
サービスを作ることと、ソフトウェアを作ること (arclamp.jp アークランプ)
世の中ではサービスが重要と言われていますが、まだまだ定着していない気がします。なので、「サービスを作ることと、ソフトウェアを作ることは何が違う?」という問いがブームです。今日は、R天の人にぶつけてみました。 「『あと1週間あったらきれいなコードで出せる』がソフトウェアで、『今リリースしてPVが増えるなら、何でもいいから出せ』がサービス」 リアリティあるなぁ、やっぱり。じゃ、サービスとソフトウェアを近づけるために何かやってる? 「プロジェクトの開始時にサービスとしての中長期的なPKIを決めてエンジニアにも意識させる。儲からないシステムはダメだ、という認識が共有されている」 ソフトウェアをサービスに寄せていく、っていうのがプロセスや文化に織り込まれているんだよね。あと、開発チームの中にコストをコントロールする人がいるっていうのも、きちんとガバナンスを効かせるために大事なことだなと思いました。
2009年のソーシャルメディアに訪れる10の変化
2008年、大流行した言葉は「ソーシャルメディア」だ。コンシューマーも企業もマーケッターも、誰もかれもが話題にした。ソーシャルメディアの権威やソーシャルメディアベンチャー、ソーシャルメディア本、ソーシャルメディア会社などがあふれている。今企業では、ソーシャルメディアのストラテジストを雇ったり、コミュニティーマネージャーを任命したり、ソーシャルメディアキャンペーンを始めたり、といったことが当たり前のように行われている。これらはすべて、ソーシャルメディアの力をうまく活用するためだ。 しかし、現在のソーシャルメディアは非常に混乱している。もうけの分け前にあずかろうとする無数の機能やツール、アプリケーションの寄せ集めになってしまった。 かつてオンラインコミュニティーの草分けだったFacebookは、サードパーティーアプリケーションがうようよする蟻の巣と化した。Twitterのユーザーには現在、いつ
シェアハウスの可能性 | おごちゃんの雑文
昨日、体調が微妙だなぁと会社をサボっていたら、ちょっとした用でphaさんがやって来た。 その時の会話の一部が、 ギークハウスをいっぱい作りたい だ。 そして、なんと偶然なことに、今日仕事絡みで人に会ったら「シェアハウスをやっていた不動産屋さん」というのに会うことになって出掛けることになった。 まぁ同行した人の話もあるので、そんなにつっこんだ話は出来なかったのだけど、その不動産屋ともやっぱりphaさんと同じような話になる。 その不動産屋が言うには、シェアハウスを成功させるには、 同じような人が集うこと が大事らしい。だから、「ギークハウス」というコンセプトはかなり好意的に受け取られた。まぁ「ギーク」のあたりが通じないから適当に説明するわけだけど、「同世代の同業者の集まり」という点で良いだろうということ。他にも、phaさんの書いている 猫 楽器 なんて話をしたら、その不動産屋は身を乗り出して聞
泥臭いWEBの底から~WEBディレクター覚書~ 誰でもできる!?ランディングページのページ構成方法
コンバージョンを意識したページクリエィティブの当たり前10項 という記事を読んだ。タイトルに違わず、基本的なことを解りやすく解説していると思う。 ランディングページの重要性、そしてランディングページにおけるページ構成の重要性についてはいまさら言うまでもないと思うけれど、「どういうページ構成」にするか?で悩んでいるディレクターは多いんじゃなかろうか。というわけで上記記事とは少し見方を変えて、ランディングページのページ構成を設計するとき、どう考えればいいのかを最大公約数的に書いてみたい。主に「はじめてランディングページを作るサイト」の場合を念頭に。 ここからが本題。 条件:TOPページがランディングページではない・見せたい要素が2個以上ある 1:ページの一番上には下層ページ共通の「ロゴと、そのロゴと同じ段にある要素」だけを入れる。 2:その下に最も見せたいものを入れる 3:その下へ次に見せたい
2009年はITゼネコン解体の元年になるかもしれない
景気悪化により,派遣社員の雇用情勢悪化が社会問題となっている。専門性の高いITエンジニアといえども,派遣社員が置かれている立場は厳しい。ITエンジニアの派遣事業を展開するパソナテックの加藤直樹取締役に,派遣ITエンジニアの現状と今後の見通しを聞いた。 景気悪化でITエンジニアのニーズが急減している。特に金融業界では,景気後退と,メガバンクの基幹業務システムの統合案件が2008年秋で一段落したことによるダブル・パンチで,SEのニーズが極端に減少している状態だ。派遣ITエンジニアの時給は,基本的にはスキルによって決まるものだが,時代のニーズに合わせて変動する。足元では金融系SEの単価下落が著しい。 しかし逆に言えば,現在の状況は他の業種の企業にとって優秀な人材を採用するチャンスだ。今,当社ではベンチャーなどIT人材確保に積極的な企業への営業を強化している。 今後,IT業界ではどのような動きが想
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20060701/p01/