タグ

ブックマーク / iwamototakashi.hatenadiary.jp (2)

  • セッションIDのみの認証はセキュリティレベルが低いのか - 岩本隆史の日記帳(アーカイブ)

    はてなブックマークモバイル版の脆弱性 昨日、はてなブックマークモバイル版の脆弱性に関する報告が公開されました。 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど キャッシュ機構の不備により、セッションID付きのURLを含むコンテンツページがキャッシュされてしまい、悪意のあるユーザが他人になりすます(セッションハイジャック)ことができたというものです。 セッションIDのみの認証なんてありえない? 報告記事に対する下記のブックマークコメントを目にしたとき、私は違和感を覚えました。 セッションIDのみの認証なんてありえない。そもそもセッションIDは認証に使うべきではない。せめて各種完了処理のときくらいはUID(NULLGWDOCOMO)もしくはFOMAカードor端末の製造番号(icc〜、ser〜)を使って認証し

    セッションIDのみの認証はセキュリティレベルが低いのか - 岩本隆史の日記帳(アーカイブ)
    itochan
    itochan 2009/10/05
    「漏らさない(推測させない)ための対策」と「漏れた(推測された)ときのための対策」を分けて考える必要性
  • Pinto公開に向けて #12 ― URIを変更&HTTPメソッドに簡単に対応 - 岩本隆史の日記帳(アーカイブ)

    あらすじ Pintoというソーシャルブックマークサービスを、Rubyで開発中です(GitHubリポジトリ)。開発中に気づいたことや工夫した点などを、備忘録も兼ねて書いています。その12回目です。 URIを変更 ニコニコ動画の外国語版が公開されたとのニュースを読み、そこに記されていた「http://de.nicovideo.jp/」「http://es.nicovideo.jp/」などのURIが格好よく見えたので、Pintoでも真似してみました。 変更前 英語版 http://pinto.jp/index.en 日語版 http://pinto.jp/index.ja プラトニックURI http://pinto.jp/ 変更後 英語版 http://en.pinto.jp/ 日語版 http://ja.pinto.jp/ プラトニックURI http://pinto.jp/ 単純に、U

    Pinto公開に向けて #12 ― URIを変更&HTTPメソッドに簡単に対応 - 岩本隆史の日記帳(アーカイブ)
    itochan
    itochan 2008/07/22
    覚える>プラトニックURIとは、言語非依存のURIのことで、「URIの希薄化」を防ぐために用意しているものです。くわしくは、『RESTful Webサービス』(オライリー・ジャパン刊)をご参照ください。
  • 1