銀行の4桁暗証番号だけではない 自転車の「10桁押しボタン式鍵」実は“210通り”しかなく脆弱
※本記事はアフィリエイトプログラムによる収益を得ています ドコモ口座から始まった“不正出金事件”で4桁暗証番号の脆弱(ぜいじゃく)性が騒がれる中、自転車の鍵などに使われる10桁の押しボタンの脆弱性にも注目が集まっています。一見1万通りあるように見えますが、実は210通りしかないというのです。なんと少ない……。 10桁の押しボタン式鍵(画像はAmazon.co.jpから) 押しボタン式の鍵は、0~9までの数字から4つの正しい数字を押すことで開くというもの。しかし、1度押した番号はもう一度使えず、さらに順不同となるため、10×9×8×7/4×3×2×1=210通りとなります(詳しくは「nCr 計算」などで検索)。慣れている人だと、10分もあれば開けられてしまいそうです。 この件について投稿したのは、立命館大学教授の上原哲太郎さん(@tetsutalow)。“不正出金事件”を受け、「10個の数字
VueをSSRに乗せると容易にXSSを生み出す場合がある件について - Qiita
はじめに 最近Vue.jsを頻繁に使用するのですが、他のSSR(サーバーサイドレンダリング)の仕組みと組み合わせる場合、容易にXSSを生み出してしまうケースが存在するので、注意喚起も兼ねて事例を紹介させていただきます。 9月7日 追記を追記しました 前提 サーバーサイドで動的に要素をレンダリングするシステムとVue.jsを組み合わせた場合 この記事はrailsのSSRとの組み合わせで解説しますが、プレーンなPHP等、動的にHTMLをレンダリングシステムとの組み合わせでも発生します。 サンプルコード まず、こちらのコードをご覧ください。 user.erb <div id="app"> <div class="user"> <%= @user.name %> </div> <button v-on:click="registerFavorite" data-user-id="<%= @user
パスワードマスクの切り替え機能について考える
徳丸浩さんのブログ記事 COOKPADの「伏せ字にせず入力」ボタンは素晴らしい(blog.tokumaru.org) について。 通常、パスワードの入力欄はコントロール形式(type属性)が password で実装されており、ほとんどのブラウザは入力した値を ● や * などの文字に置換してレンダリングします。これはショルダーハッキング(覗き見)を防ぐためと言われていますが、一方で ひらがなや漢字が入力できず(別の場所からコピペすれば一応入力できますが)、使える文字種が制限される 入力している内容が分からず入力ミスしやすい といった理由から、長い文字列や特殊な記号を織り交ぜるなど安全なパスワードを設定しにくいという問題があり、必ずしもマスクすることが最善というわけでもなさそうです。 徳丸さんも著書体系的に学ぶ 安全なWebアプリケーションの作り方の中で利用者は簡単な(危険な)パスワードを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
