第25回 PHPのアキレス腱 ── セッション管理 | gihyo.jp
PHPにはHTTPセッション管理モジュールが標準で付いてきます。このセッションモジュールには非常に重大なセキュリティ上の脆弱性が修正されずに残っています。その脆弱性とはセッションアダプションです。 セッションアダプションとは、セッション固定化攻撃に利用される脆弱性です。PHPのセッション管理モジュールがセッションアダプションに脆弱であることは、かなり以前、何年も前から知られています。しかし、開発者の理解不足より脆弱性が放置されたままになっています。 セッションアダプションとは セッションアダプションとは、ブラウザ等から送信された未初期化セッションIDをそのまま利用してセッションを初期化してしまう脆弱性です。ユーザが送信してきたIDでも第三者に予想できない文字列であれば大丈夫なのでは?と考える方もいると思います。その通りで第三者に予想できなければ問題ないですし、仮に予想できてもログインする際
Kei-z.biz | [Break]乗り越えられるか?
ソニーの「イノベーションのジレンマ」について一言, Life is Beautiful 先のエントリの続きじゃないですが、この示唆深い書き込みを読んで2つのことを感じた。 ・スーツはギークを理解しなければいけない いや、むしろ「理解する」という上から目線な段階で、すでに理解できていないというか、交わることはないのかな、と。というか「ギーク」という言葉自体ナンセンスな気がする。 このギークが、誰からお金をもらっているとかそういう社への帰属意識が皆無というどうしようもない状態なら、それは相手にする必要ないんじゃないかな。"The Art of Innovation"のIDEOとかだって、それなりにまず最初に人をセレクションしてるし。その上で、スーツは「ギーク」を理解する必要がある。 この業界、「俺、技術はわかんないから。俺は、ビジネスだから。」という人が多いですが、私はそれに対して、
Kei-z.biz | [Break]スーツ議論について
自分はかなり宙ぶらりんな立場なんですが、思うことを簡単に。 まず、ギークに対しては、「どうやってお金をもらっているか?誰からお金をもらっているか?」は考える必要があると思うんです。やはり何かを売ってその対価をもらって給料が支払われているわけなんで、やることとそれが同じベクトルを向いている必要はあると思うんです。逆に言うと、すきなことやって金をもらえると言うのは、結構稀なケースなんじゃないかな。 続いて、スーツに対しては、勘違いはやめる必要があると思うんです。ビジネスを担当すると標榜しているんであれば、ちゃんとビジネスを考えましょう、と。自動車会社で「俺、自動車のことはわかんないから」なんて言えないよね?競争力をつけたけりゃ、バリューチェーンを考えるなんて、ビジネスの教科書の初め半分に出てくる基本中の基本。その大部分を占める技術的なことを無視して競争力なんてつかない。ましてや戦略なんて絶
ubuntuでIPアドレスを固定する方法 - Maskmanの実験室:楽天ブログ
2009.05.02 ubuntuでIPアドレスを固定する方法 テーマ:パソコンニュース&情報(7553) カテゴリ:パソコン ubuntu9.04の日本語Remixバージョンがリリースされ一週間経った。IPアドレスを固定できず困っている人が多いようなので、書いておく。 「ubuntu9.04」でのIPアドレス固定法 1、ubuntu画面上のパネル右上の中央寄りにあるネットワークアイコンを右クリックし「接続の編集...」を選択する。有線タブの「Auto eth0」を選択し「編集」をクリック。有線タブにMACアドレスが表示されているのでメモになるファイルを作っておきコピペする。 2、編集画面を閉じネットワーク接続画面の有線タブの「Auto eth0」を削除する。 ちょっとすると自動的にネットワークから切断される。 3、上のパネル右上の中央寄りにあるネットワークアイコン(先ほどとアイコンの形が
Firefox3.6への移行 - monjudoh’s diary
Webブラウズ用profile アップデートしたadd-on Stylish-Custom 0.7.0 Wescript 0.0.35 アンインストールしたadd-on Personas 3.6から標準機能になったのでいらなくなった。 MR Tech Toolkit で互換とみなしたadd-on It's All Text! 1.3.1 デフォルト以外の拡張子が選べないなどの問題があるので正式なアップデートが早く提供されないものかと思っている。 今頑張っているところらしいhttp://trac.gerf.org/itsalltext/roadmap Auto Copy 1.0 Hatena Toolbar for Firefox 0.6.0 Live TopHatenar 0.3 Long URL Please 0.4.1 Save Image in Folder 1.2.7 Select
シゴタノ! — すぐに起きられて、ずっと続けられる「Twitter早起き術」
テレビや雑誌などで次々と紹介され、ただいまユーザー数が爆発的に増えているTwitter。私も御多分に漏れず、はまってしまいました。電車での移動中もつい気になり、iPhoneでチェック。そのせいで何度か乗り過ごしたこともあります。 はまる人は徹底的にはまり、はまらない人は全く興味を示さないと言われているTwitter。実は私も登録はしたものの、最初はどう使っていいか分からずにしばらく放置していました。 「どう使っていいかわからないけど、とりあえず朝起きたら挨拶してみるか」 そう思って朝4時につぶやき始めたところ、思わぬ効果が生まれました。早起きすることが今までよりもさらに楽しくなってきたのです。 早朝につぶやいていて、次の3つのメリットを実感しました。 仲間メリット <早起き同士のゆるい交流が生まれるので、孤独感が減少する> 牽制メリット <ピア・プレッシャー(仲間からの圧力)を前向きに利用
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
とくまるひろしのSession Fixation攻撃入門 - ockeghem's blog
Emacs 簡易コマンドリファレンス
not found
Kei-z.biz | [Business]一連の話への結論
ヒットマン事件簿