ブログが続かないわけ | ログイン処理が簡単と言い切れるか 〜 フィッシング対策も忘れずに
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
各サイトのパスワードをたった一つのマスターパスワードだけですべて管理できるすごいブックマークレット「SuperGenPass」
ブックマークレットとは、ページのアドレスをお気に入りに入れる代わりにJavaScriptのプログラムコードを入れておくことで、それを選んだ時にちょっとした機能がすぐに実行できるという便利なもの。 で、今回の「SuperGenPass」は単一のマスターパスワードさえ覚えておけば、各サイトごとにすべて違うパスワードを極めて簡単に利用できるというかなりすごいブックマークレットで、別途ソフトウェアや拡張機能をインストールする必要なし、覚えておくのはたった一つのパスワード、なおかつ各サイトごとに違うパスワードを設定できるというスグレモノとなっています。 設定方法や使い方は以下から。 SuperGenPass: A Free Bookmarklet Password Generator. http://supergenpass.com/ まず「Browser compatibility ?」で使用して
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
iPhone 3G と Google カレンダーを自動プッシュで同期する NuevaSync | Weboo! Returns.
