T.Teradaの日記 - ログイン直後のレスポンスの返し方
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ
レスポンス・タイムによるボット検知手法(その1)
現在では「ボット」が大きな問題となっている。ボットとは、感染PCを乗っ取って、DoS(サービス妨害)攻撃やスパム送信の踏み台などにするマルウエア(悪質なプログラム)の一種である。 ボットが問題になっている原因の一つは、膨大な数の変種や亜種が出現していることだ。ボットのソースコードはインターネット上で公開され、誰でも入手することが可能である。入手したソースコードから新たなボットを容易に作成できる状況になっている。 このため、シグネチャ・ベースのアンチウイルスや侵入検知システムは、もはや有効なボット対策手段とはいえないのが現状だ。シグネチャ・ベースでは、新しく出現したボットを検知するには、そのボットに対応した新たなシグネチャが必要となるからだ。さらに、シグネチャの開発は非常に手間のかかる作業であり、開発環境の整備や開発者の確保には巨額な費用も必要となる。 こういった問題点を解決するためには、プ
九尾のネコ鞭「会話はキャッチボール」の本当の意味
「会話はキャッチボールなんだよ」ってのは良く聞くお説教だが、私は今までその意味合いを勘違いしてきたようだ。最近、ようやくそれが判明した。 私はこれまで、この言葉の意味を「一方的に話すな」と言う意味として捉えてきた。会話はスピーチじゃないんだから、こちらが喋った後は、相手も喋る。会話が行き交う。つまりキャッチボールなのであると。 だから私は、そんなことは当たり前じゃないか、と思ってきた。私はコミュニケーション不得手ではあるけれど、別に、自分が喋ったら即、耳をふさいで「あーあーあーあー、きこえなーい、きこえなーい、ぜんぜんきこえなーい」とか首を振り振り、叫んでいるわけじゃないのだ。キャッチボールはちゃんとやっている。訳の分からんお説教するな。そう思ってきた。 しかし、この捉え方が、根本的なところで大きく間違っていることが判明した。 ポイントは「キャッチボール」という暗喩である。 良く考えてみれ
Bridge Word
This shop will be powered by Are you the store owner? Log in here
元社長日記: Niftyさんからお返事もらいました
最近は暇つぶしに思ったことを書いているだけですので、更新頻度は低いし、コメントのレスも気が向いたときしかしません 先日出した損害賠償の内容証明について、やっとお返事が来ました 一、ココログに関するサービスプロモーション全体をレスポンス向上の目途がつくまで抑制します。 一、これまで以上に、お客様に対し、ココログのご利用に関する情報の提供を行います。 だそうです 停止とか中止って言葉を使わず抑制って言葉を使っているところがポイントですかね?>Niftyさん 抑制=おさえとどめること。 PDFでアップしておきました なんか、つまんね~!っていうか、やっぱりこの会社ダメだなって回答でした でも、電話やメールじゃ努力してますの一点張りだったのに、内容証明一通送っただけで、こういう返事を出してくるというのは、さすが大手企業ですね(悪い意味で) でも、俺に返事送ってくるだけじゃなくて、こういうことを会
「オープン」というルールで戦うことのリスクとメリット - kokepiの日記
itproの記事より。 羽生氏は,今後,人材の流動性が高まることは避けられないと語る。現に,派遣会社のエンジニアのスタッフ登録は減ってきているという。優秀なエンジニアは,コミュニティの中で転職先を見つけるようになってきているからだ。企業が,自社のエンジニアをコミュニティに積極的に参加させるようにすれば,引き抜かれる危険性もある代わり,他社の優秀なエンジニアを連れてきてくれることもある。 もはや,会社が認めてくれなくても,外部が認めてくれることは十分ある時代である。OSSによりルールが変わったのだ。ボランティアを上回るような志の高さを会社がきちんと示せないと,優秀な人材を引き留めることはできない。 強調部分は、「情報は公開されうる」というルールで戦う限り、OSSに限らないはずだ。 例えば、コードがオープンになり、ソフトウェアがオープンになり、言論がオープンになりつつある今、ブログでアイディア
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://yuki19762.exblog.jp/5047754/
