細かすぎて伝わらないSSL/TLS
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 「細かいと言うより長いよね」 はじめに こんにちは。ATS の脆弱性を発見した小柴さんや ATS に HTTP/2 の実装を行っている大久保さんと同じチームの一年目、匿名社員M さんからいじられている新人です。今回ありがたい事に、こういったすごい方々を含めモヒカン諸先輩方より「何か書かないの?」「いつ書くの?」という数々のプレッシャーお言葉をいただきました。 というわけで、SSL/TLS の Session 再開機能に関して書いていこうかと思います。 SSL/TLS は機密性、完全性そして真正性に対して安全な通信を行うための仕組みです。しかし、この仕組みは暗号技術を多用し特に接続において複雑なプロトコルを用い、Client, Se
ログアウト機能の目的と実現方法
このエントリでは、Webアプリケーションにおけるログアウト機能に関連して、その目的と実現方法について説明します。 議論の前提 このエントリでは、認証方式として、いわゆるフォーム認証を前提としています。フォーム認証は俗な言い方かもしれませんが、HTMLフォームでIDとパスワードの入力フォームを作成し、その入力値をアプリケーション側で検証する認証方式のことです。IDとパスワードの入力は最初の1回ですませたいため、通常はCookieを用いて認証状態を保持します。ログアウト機能とは、保持された認証状態を破棄して、認証していない状態に戻すことです。 Cookieを用いた認証状態保持 前述のように、認証状態の保持にはCookieを用いることが一般的ですが、Cookieに auth=1 とか、userid=tokumaru などのように、ログイン状態を「そのまま」Cookieに保持すると脆弱性になります
セッションアダプション脆弱性がないセッション管理が必要な理由
Last Updated on: 2018年8月18日徳丸さんから「ブログ読みました。サンプルも動かしました。問題は分かるのですが、セッションアダプションがないPHPだと、何が改善されるのかが分かりません。教えて下さい 」とあったのでツイッターで返信するには少し長いのでこちらに書きます。まだ直していない脆弱性を詳しく解説するのはあまりよくないのですが、今なら影響を受けるアプリはほぼないと思うので構わないでしょう。 まず前提として、Webサーバと同様にJavascriptからもクッキーが設定できます。Javascriptインジェクションに脆弱なコードがサイトに1つでもあると、サイト上のセッションアダプション脆弱性をもつアプリへの攻撃が可能になります。この攻撃を緩和する対策もありますが、それはそれ、これはこれなので省略します。 セッションアダプションに脆弱なセッション管理機構で困る代表的なケー
実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
携帯Webのクッキー利用について調べてみたメモ【update】
携帯でクッキーがどれぐらい使えるか調べたメモ。 ■3キャリア+スマートホン(PC)対応クッキー記述 クッキーのドメイン、パス指定に何も記述しなければ完全一致として扱われるのでこれであればそのままクッキーの読み書きは可能です。 しかし一定規模のシステムであれば、クッキーのスコープを広く取りたいケースの方が多いと思います。 サブドメイン、複数のAレコードによるWebサーバが存在する場合に、3キャリア共通に使えるようにするクッキーのドメイン指定は、「.」から始まるドメインを指定することで可能です。 例: Set-Cookie: testcookie=thankyoumovatwi; path=/; domain=.movatwi.jp この辺、ハマリ所なのでウノウラボの記事もご参考ください。(なんとドメインが.jpと.inで挙動が違うらしいという、、) 携帯とCookieドメイン ■携帯電話でク
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
ぼくがかんがえたおーぷんそーしゃる その3 - 知らないけどきっとそう。
JavaScript を(極力)使わずに OpenSocial アプリケーションを作る講座、第三回です 外部サーバ上で security token がどのアプリに対して発行されたものか検証する方法とは Signed Requests を使います コンテナから外部サーバのエンドポイントに対して、Signed Requests を投げさせ、レスポンスに含まれる opensocial_app_url をチェックすることで、どのアプリの st であるか確認します まず、コンテナから Signed Requests を投げさせる gadgets.io.makeRequest() を実行しているガジェットをモニタすると内部でこんなことになっています POST /gadgets/makeRequest HTTP/1.1 Host: 7f17fe5993881228b01b387a41e93a45edb
第4回 WicketでTwitterアプリケーションを作る(後編) | gihyo.jp
前回までに、サブミットの受け付け方法が分かりましたので、実際にonSubmit()を実装してTwitterにログインする処理を記述したいところです。ですが、サンプルプログラムのコードを理解するには、Wicketにおけるユーザセッションの取り扱いについて理解する必要があります。 そこで今回は、このユーザセッションの取り扱いについて解説します。 ユーザセッションにアクセスする サーブレットでプログラムを作るとき、ユーザごとに用意されるデータ格納領域としてHttpSessionオブジェクトを使用することができました。Wicketでも、同様の仕組みがあります。 とはいえ、Wicketではページ自身がフィールドを持つことができ、Wicketがページの状態を保存してくれます。あるページオブジェクトはユーザ固有のもので、同じページクラスから作られたページでも、ユーザが異なれば、別のオブジェクトが割り当て
「UID」とは:ITpro
本記事は, 2004年3月31日 に発行した「ネットワーク大辞典」を基に掲載しております。内容は発行時の情報に基づいており,現在では異なる場合があります。 NTTドコモがiモードの公式サイトを運営する事業者に通知する加入者識別子。ユーザーIDとも呼ぶ。 公式サイト側はこのIDを基にユーザーを識別し,セッションを管理する。Webページを記述するHTML文書内に「uid=NULLGWDOCOMO」と記述しておけば,ドコモ網内のゲートウエイが文字列「NULLGWDOCOMO」を,該当ユーザーを識別する番号に変換する仕組み。 auが提供するEZwebでは,「サブスクライバID」がUIDに相当する。ただし,サブスクライバIDと異なりUIDは,ユーザーにiモード端末上で識別子を直接見られる恐れがなく安全性が高い。 なお,NTTドコモは503iシリーズから端末の製造番号をHTTPヘッダーに書き込み
はてなブックマーク開発ブログ
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。7月7日(月)~7月13日(日)〔2025年7月第2週〕のトップ30です*1。 順位 タイトル 1位 あの2人組が「ぽっこりお腹はどうすれば簡単に治るか?」を教えてくれる→「そんな腹筋で大丈夫か?」「大丈夫だ。問題ない」 - posfie 2位 何が長期的に出生率を下げてきたのか|筒井淳也 3位 ※オススメです!【簡単!!ゆでて切るだけ】夏にぴったり!雲白肉(ウンパイロー) | 山本ゆりオフィシャルブログ「含み笑いのカフェごはん『syunkon』」Powered by Ameba 4位 速習 Claude Code 5位 たった5分でストレスを和らげる確かな方法6選、科学の裏付け | ナショナル ジオグラフィック日本版サイト 6位 【速報】米国依存から自立する努力必要と石破首相|47NEWS(よん
ニコ動ログイン方法変更のお知らせ‐ニコニコニュース
ニコ動ログイン方法変更のお知らせ 2009年08月12日 いつもニコニコ動画をご利用いただきありがとうございます。 本日8月12日より、ニコニコ動画へのログイン方法を変更いたしました。 ニコニコ動画トップページの「ログイン」ボタンを押した場合や、 ログインしていない状態で動画をクリックした場合などに、 ログインページが表示されますので、そちらにメールアドレス(アカウント)と パスワードを入力して、「ログイン」ボタンを押してください。 なお、この変更に伴い、明日以降、順次強制ログアウトが発生いたします。 よろしくお願いいたします。 ニコニコ動画 運営
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
CGI::Cookie - Netscape クッキーへのインターフェース
[pod] [xml] 名前 CGI::Cookie - Netscape クッキーへのインターフェース 概要 use CGI qw/:standard/; use CGI::Cookie; # 新しいクッキーを作成し、それを送信します $cookie1 = new CGI::Cookie(-name=>'ID',-value=>123456); $cookie2 = new CGI::Cookie(-name=>'preferences', -value=>{ font => Helvetica, size => 12 } ); print header(-cookie=>[$cookie1,$cookie2]); # 既にあるクッキーを取り出します %cookies = fetch CGI::Cookie; $id = $cookies{'ID'}->value; # 外部ソースから
i-modeブラウザ2.0の件 - ありがとう。また会おう。
だいぶご無沙汰しておりましたm(_ _)m mixiではコンスタントに日記書いてるくせに、どうしてもこっちは、技術系のまじめな、ちゃんと検証した内容かかなきゃなぁ・・・みたいな変な気負いがあって、日記が書けてませんでした。 でも、知り合いのブログとかガツガツ更新されてるのを見てると、まぁまずは「発信」することが大事かなぁ・・・という気が最近してきたので、ぼちぼちまた書いていきたいと思います。 さて、表題の件、だいぶもうホットな時期過ぎちゃいましたが。。。f(^^;;; 個人的な感想ですが。 Cookie サポートは偉い! つか遅すぎだけど。ようやくネスケ3?以前から脱出ですか。 つか新端末だけなんですね。KDDIみたいに非SSL領域だけでもサーバ側で対応してくれてもいいのにさ。 外部 CSS サポートは偉い! つか遅すぎだけど。ようやく(なんか太古のブラウザ名を入れてね)から脱出ですか?
C-Production – UNIXとプログラミングの備忘録
大変ご無沙汰です。約1年半ぶりの更新です。 昨日、ブログを設置しているサーバでOSのアップデートに問題が発生したため、これを機に新サーバ・新OSに乗り換えることにしました。 現在のブログがマルチサイトのため、そのままでは新サーバの構築に苦戦すると予想されるため、他のブログの記事を統合しました。 統合内容は以下の通りです。 ・C-Production ・・・ メインサイトのため、他のブログを吸収して継続。 ・♪8thNote♪ ・・・ メインサイトに統合済みだったので、削除。 ・モバイル魂 ・・・ メインサイトに記事を引き継ぎ、並行稼働中。 ・無線のドキュメント ・・・ もともと閉鎖予定だったので、そのまま削除 外部SNSのアカウントについてはそのまま継続します。 今後ともよろしくお願いします。
Part3 セキュアWebプログラミング入門
University of Denver卒。同校にてコンピュータ・サイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。オープンソース製品は比較的古くから利用し,Linuxは0.9xから利用している。オープンソース・システム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から行い,複数のプロジェクトに参加している。 このPart3では,Webアプリケーションのプログラミングでは必須のセキュリティ対策を解説します。 Webアプリケーションといっても,セキュリティ対策の考え方がほかのコンピュータ・システムと大きく異なるわけではありません。しかし,「Webアプリケーションは最も危険なアプリケーションである」と認識する必要はあります。図1はセキュリティ関連情報のコミュニティであるSecurityFocusが発表した2006年5月
CGI::Session - CGIアプリケーションにおける持続的なデータのセッション
NAME SYNOPSIS DESCRIPTION TO LEARN MORE METHODS MISCELLANEOUS METHODS DEPRECATED METHODS DISTRIBUTION DRIVERS SERIALIZERS ID GENERATORS CREDITS COPYRIGHT PUBLIC CODE REPOSITORY SUPPORT AUTHOR SEE ALSO DOCUMENT TRANSLATION Page Top NAME CGI::Session - CGIアプリケーションにおける持続的なデータのセッション Page Top SYNOPSIS # オブジェクトの初期化: use CGI::Session; $session = new CGI::Session(); $CGISESSID = $session->id(); # クッキーを含む適
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
docomo IDについて サイト運営者様向け | NTTドコモ
http://www.limy.org/program/mobile/uid.html
MATSUNO★Tokuhiro / HTTP-Session - search.cpan.org