タグ

2012年3月16日のブックマーク (11件)

  • まちがった自動ログイン処理

    (Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保

    まちがった自動ログイン処理

  • もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog

    たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ

    もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog

  • 便利!自分のローカル以下で異なるPHPを切り替える·PhpBrew MOONGIFT

    PhpBrewは個人のホームディレクトリ以下に異なるバージョンのPHPをインストールできるソフトウェアです。 最近はバージョンの異なる実行環境を手元で手軽に切り替えられる仕組みが流行っています。rvmやnodebrew、perlbrewなどがありますが、PHPにおいて同様の環境を提供するのがPhpBrewです。 インストールはPearまたはソースをダウンロードして行います。 セットアップしました。.bash_profileに追記します。 これだけのバージョンをインストールできます。 5.3.10のインストールを開始します。 完了しました。24分かかったようです。 パスがローカルのものになっています。 phpbrew use systemでシステムに入っているものに代わります。 listで既にインストールされているものが一覧されます。 PhpBrewは他のbrew系ソフトウェアと同様にコマン

  • 味のりとこんにゃくゼリーのエンジニアブログ: phpを高速化する60の方法

    01. static にできるメソッドは static として宣言しよう。(4倍速い) 02. echo の方が print より速い。 03. echo ‘文’,'字’; (カンマ区切り)の方が、’文’.'字’ (ドット連結)より速い。 04. ループの最大値は、ループ「内」ではなく「前」にセットしておこう。 05. 大きい配列のような変数は unset() してメモリを解放しよう。 06. マジックメソッド(例: __get, __set, __autoload)は使用を避けよう。 07. require_once はハイコストなのです。 08. include や require でファイルはフルパスで指定しよう。 09. スクリプト開始時間は time() でなく $_SERVER['REQUEST_TIME'] で取得。 10. 可能であれば、正規表現より st

  • [JS]複数のエレメントをターンテーブルのようにぐるぐる回すスクリプト -Roundabout

    デモ:Around Other Things 回転の中心に他のエレメントを置いたデモ。 Roundaboutの使い方 Roundabouの実装方法を簡単に紹介します。 詳しい実装方法については「Learn」をご覧ください。 Roundabout -Learn HTML ぐるぐる回転させる各エレメントをリスト要素で実装します。 <ul> <li></li> <li></li> <li></li> <li></li> <li></li> </ul> 外部ファイル 「jquery.js」と当スクリプトを外部ファイルとして記述します。 <script src="jquery.js"></script> <script src="jquery.roundabout.js"></script> JavaScript jQueryのセレクタで指定し、Roundaboutを実行します。 <script>

  • YouTube人気急上昇

    【スカッと】旦那『旅行行って温泉でゆっくりするか!』私「いいの?ありがとう!」 →旅行に行くと、私「もう嫌、帰りたい…」 → 実は【2chゆっくりスレ解説】

    YouTube人気急上昇

  • [JS]要素の一つひとつを異なるタイミングでスライドさせる、パララックス対応のコンテンツスライダー

    jQueryとCSS3アニメーションを使った、パララックス対応のコンテンツスライダーを実装するチュートリアルを紹介します。 Parallax Content Slider with CSS3 and jQuery [ad#ad-2] デモ 実装 デモ 一枚のスライドには、h2要素、パラグラフ、リンク、画像が配置されており、それぞれが異なるタイミングでスライドします。 分かりにくいかもしれませんが、背景もアニメーションで動いています。 Kendo UI こちらも当然パララックス対応のコンテンツスライダーです。 こっちの方が背景がはっきりしてるので、その動作を楽しめると思います。 実装 実装は各ポイントとなる箇所を説明します。 HTML スライダーは複数のスライドを含んでおり、それぞれのスライドにh2要素、パラグラフ、リンク、画像を含んでいます。 <div id="da-slider" cla

  • [iPad, iPhone] LED Sign: イベント会場や受付に設置する電光掲示板をiPadで! | AppBank

    メッセージ編集画面はとってもシンプルです。 サンプルがいくつか用意されているので、画面下にある【再生】ボタンを押してイメージを掴みましょう。 イメージが掴めたらさっそく作っていきましょう。 画面右上の【MENU】から「新しいフォルダ」を選択しフォルダを作成します。 作成したメッセージを入れるフォルができたら、フォルダ名をタップします。 (例では「東京オフ会」フォルダを作成しました) フォルダの中に入ったらまた右上の【MENU】をタップします。 今度は「新しいメッセージ」を選択します。 まずは表示したいメッセージを入力します。 「表示設定」や「開始動作」、「終了動作」はとりあえずよくわからないと思うので、今は触りません。 メッセージ入力できたら画面下の【目のマーク】をタップしてプレビューをチェックしましょう。 プレビューを見ながら「文字色」や「背景色」、「フォントサイズ」など細かい調整をして

    [iPad, iPhone] LED Sign: イベント会場や受付に設置する電光掲示板をiPadで! | AppBank

  • セッションの有効期間とか設定とか挙動とかを調べました - [PHP + PHP] ぺんたん info

    PHPでログインページを作ったりするときに、よくセッションを使ったりすると思いますが、 じゃあセッションってどのようになってるのでしょうか。 [参考]セッション固定攻撃 [参考]GPC(GET/POST/cookie)以外の情報を送るアラワザ [参考]アンダーバーのあるドメインではセッションクッキーは使用できません セッションの破棄されるタイミング ガベージコレクト(ガベージコレクション、ガーベッジコレクション、ガーベッジコレクタともいわれます)とは、『ごみ拾い』という意味です。 session_start()が行われたときに、session.gc_probabilityを分子、session.gc_divisorを分母とする確率で、 session.gc_maxlifetimeよりファイル更新日付の古いファイルをsession.save_pathから削除します。 デフォルトでは、1/10

  • sessionIDの受渡し

    携帯サイトは大変 セッションIDの受渡しは、クッキー利用が標準です。 ただし携帯サイトは、クッキー未対応携帯電話も考慮して、クッキー以外の方法を採用することも考える必要があります。 cookie利用 セッションIDの受渡しには、cookieを利用するのが標準的でしょう。 セッションを開始すると、$_COOKIE['PHPSESSID']にセッションIDが保存されます。 session_id()の引数に設定することで、以前開始したセッションを継続することができます。 <?php session_id($_COOKIE['PHPSESSID']); session_start(); ?> 必ずsession_id()でIDを設定してから、session_start()を呼び出すようにしてください。 cookie以外の利用 クッキーは、ブラウザやセキュリティソフトの設定で無効にすることができます

  • イギリスの第二次世界大戦ステン銃7ポケットマガジン弾帯 大決算セール

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.