高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
18倍ズームを手のひらに ニコン「COOLPIX S9100」
カード型デジカメの高倍率化は昨年秋ぐらいより顕著となり、既に10倍を超える機種も珍しくなくなっているが、3月18日に販売が開始されるニコン「COOLPIX S9100」は35ミリ換算25~450ミリ相当の18倍という強烈なズーム倍率が特徴だ。 COOLPIXのメインシリーズである「COOLPIX S」では、2010年春モデルの「COOLPIX S8000」で光学10倍ズーム(35ミリ換算30~300ミリ相当)、秋モデルの「COOLPIX S8100」で裏面照射型CMOSセンサー搭載と強化されてきた。これらの上位モデルとして投入される9000番台のCOOLPIX S9100ではセンサー自体はS8100とほぼ同スペックながら、レンズ倍率を18倍(35ミリ換算25~450ミリ相当)まで高めてきた。 まずは広角端と望遠端でどれほどの画角に差が出るか、下を見て欲しい。左は25ミリ相当の広角端、右は4
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Loading...