おさかなラボ - [CSRF]高木氏のエントリへの返答
CSRF対策に「ワンタイムトークン」方式を推奨しない理由 @ 高木浩光@自宅の日記 ものすごく遅くなってしまったが、高木氏の反論を読ませて頂いた。 ワンタイムトークン方式の欠陥 (拙作の)「ワンタイムトークン方式」では複数の画面遷移を実装できない、という点についてはまさにその通りで反論の余地はない。僕が提唱した方法では、同一セッションで2つ以上の画面遷移を平行して行った場合、先にワンタイムトークンを発行した方の処 理がエラーを起こしてしまう。 「ワンタイムトークンを変数で切り分ける」方式(僕が提唱したものではないが)についても、高木氏の言う通りで現実的ではないと思う。全く同じ画面の平行編集についても、同じ人へ複数のメッセージ(メール)を送る場合など必要と思われる場面はいくつか想定できる。 で、hiddenにSessionIDを入れるのは問題ないの? 高木氏やおおいわ氏の主張は
-OASIS- - 今日のメモ「携帯におけるセッションとセキュリティ(PHP)」
ログイン機能を持つモバイルサイトではセッションが必要不可欠になるが、そのセキュリティ問題についての備忘録。 以下、問題に関しての参考サイト。 ke-tai.org - PHPで携帯からセッションを使う場合の設定方法 maru.cc@はてな - auのSSLでcookieの挙動がおかしい maru.cc@はてな - au、SoftBankでSSLでCookieセッションを使用する場合の問題点 [DoCoMo] DoCoMoの端末はCookieが使えないので、セッションを使うには必然的にApacheのsession.use_trans_sidを使う事になる(URLの中にセッションIDを埋め込む方式)。 この時問題になるのは2点。 まずURLの流出によるセッションハイジャック。携帯はPCに比べ、この問題が表面化しやすい。これは、友達にサイトを教えようと今見ているページのURLをそのままメールで送
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
