令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
1ドル札|村本大輔
その日は何もなかった、オープンマイクも予定がなく、ニューヨークの知り合いのコメディアンのブルックに「今夜、どこかでやってる?」って聞いたら「やってるよ、あと20分ほどで締め切られるけど」って返事が来て、部屋でゴロゴロしてたのですぐに上着を羽織ってタクシーに乗ってそのコメディクラブに向かった。いつもは5、6人の場所で、しんみりやってるはずのオープンマイクに、たくさんの人がいた。ブルックを見つけて「これ全員お客さん?」って聞いたら「そうだよ」っていうからニューヨークきて、こんなにたくさんの人の前でやる機会なんか少ないから、めちゃくちゃ嬉しくて「今夜でる芸人は?」って聞いたら「彼ら全員だよ」って言われて思わず「ファック!!!!!」って叫んだ。おれは小さなコメディクラブのオープンマイクでばっかりやってるから、なかなか普通のお客さんの前でやる機会がなく、やっと、チャンスが来たと思ったら、芸人の前、芸
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
