携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog
最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て
Debian/OpenSSL 騒動の教訓 - Radium Software
Lessons from the Debian/OpenSSL Fiasco - research!rsc Russ Cox による Debian/OpenSSL 騒動のまとめ。問題の技術的概要と,関連する出来事の経緯について,詳しく解説している。非常に上手くまとめられていて,参考になる。 ポイントが多すぎて,一言に表すのは難しいかな。ただ,みんながもっと,問題を発見するための努力と,問題を発見しやすくするための努力を払っていれば,失敗の連鎖をどこかで食い止めることができたはずなのだけれど……。 色々なブログを読むと,問題に関わった人たちの知性が攻撃されているのを目にするだろう。でも,実際のところは,これは知性の失敗ではなくて,プロセスの失敗なんだ。メンテナーは自分がそのコードに関して専門家ではないことを知っていて,専門家に助けを求めた。そして,誤った情報が与えられたんだ。
Debian, Ubuntu等に限定したOpenSSLの脆弱性 - 日本Linux協会blog
Debian Projectにも参加している野首です。先日、Debian Projectを震撼させる出来事が発生しました。 オープンソースソフトウェア、あるいは一部の商用ソフトウェアでも利用されている、OpenSSLという暗号化ライブラリに、Debian開発者の当てたパッチが原因で予測可能な乱数を生成してしまう脆弱性が入り込んでしまいました。 暗号にとって乱数は非常に重要です。予測可能な乱数を使ってしまうと、それが暗号を破る手がかりとなってしまいます。 ライブラリの脆弱性なので影響範囲も大きく、OpenSSH, OpenVPN, DNSSECの鍵やX.509証明書などが影響を受けます。特にOpenSSHは非常に大きな問題です。 オリジナルのOpenSSLにはこのような問題はないので、今のところDebianとUbuntuがこの脆弱性についてのリリースを出しています。 [SECURITY] [
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://research.swtch.com/2008/05/lessons-from-debianopenssl-fiasco.html