CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2011年1月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 橋口誠さんから今話題の書籍パーフェクトPHP (PERFECT SERIES 3)を献本いただきました。ありがとうございます。このエントリでは同書のCSRF対策の問題点について報告したいと思います*1。 本書では、CSRFの対策について以下のように説明されています(同書P338)。 CSRFへの対応方法は、「ワンタイムトークンによるチェックを用いる」「投稿・編集・削除などの操作の際にはパスワード認証をさせる」などがあります。一番確実な方法は両者を併用することですが、ユーザ利便性などの理由から簡略化する場合で
PHPでAmazonSESを使ってみた - BLABBER
事務手続き Amazon Simple Email Service Getting Started Guideを参照。 検証用メールアドレスを登録 <?php set_include_path(get_include_path().PATH_SEPARATOR.dirname(__FILE__)); require_once 'sdk-1.2.3/sdk.class.php'; require_once 'sdk-1.2.3/services/ses.class.php'; $ses = new AmazonSES(ACCESS_KEY, SECRET_KEY); // $ses->set_region(AmazonSES::REGION_APAC_SE1); リージョンはまだus-eastのみっぽい。反応ないのでコメントアウト echo $ses->verify_email_addres
Dvorak配列からの戻し方 - ゆず日記
昨日の記事(Dvorak配列に切り替えるべき7つの理由 - ゆず日記)を書いたら、自分の想定以上に反響をいただいたようで、試しにDvorakを導入してみた人が多くいたようです。感謝。 ところが、「MacでQWERTYに戻せなくなった」というケースがあったのでその戻し方をここにメモ。 Windowsは窓使いの憂鬱やのどかの設定を切り替えるだけ、Linuxはデフォルトのキーボード設定をQWERTYにするだけなので割愛。 Mac システム環境設定 > 言語環境 > 入力メニュータブを開きます。 Dvorakがグレーアウトされていて、チェックが外せない状態になっています。 これはどうやら、直接入力メソッド(ことえりやGoogle日本語入力はこれに含まれない)をどれか一つチェックを入れて置かないとダメな仕様になっているようです。 U.S.にチェックを入れる。 これでDvorakのグレーアウト状態が解
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
