CSRF脆弱性対策 - monjudoh’s diary
CSRF対策のtokenはセッションIDで良い セキュリティ的にワンタイムトークン>セッションIDではない。 という話が、この辺の記事に書かれています。 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか? 肝はこういう事のようです tokenは外部のサイトから知り難い(実質知り得ない)ものでないといけない セッションIDはcookieに格納される document.cookieは自ドメインのものと親ドメインのものしか見れない→外部サイトで動かすJavaScriptからは参照できない セッションIDは『暗号学的に安全な擬似乱数生成系で生成されているはず』(引用) 推測も事実上できない 補足すると、セッションIDを使用したCSRF対
JavaScript1.6でBrainf**kもどきを実装 - monjudoh’s diary
2008/09/10追記 gistに置いた 9713’s gists · GitHub 動機 1000speakersとかで言語の処理系を実装した人をたくさん目にしたが、 自分はまだ一つも実装していない。 これでプログラマを名乗ってていいのか? 言い訳とか やっつけ仕事のためにArray.prototype.indexOfが使いたかったのでJavaScript1.6。 とりあえずHelloWorldだけでも動かしたかったので、 ,での入力、ネストした[]でのループは未実装。 実装 メモリセル function Cell(memory){ this._memory = memory || []; if(!this._memory.length){ this._memory.push(this); } }; Cell.prototype._memory; Cell.prototype._num
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
