問題:間違った自動ログイン処理
(Last Updated On: 2014年12月5日)問題:以下のコードはセキュリティ上大きな問題となる脆弱な処理が含まれています。セキュリティ上のベストプラクティス、他の自動ログインの実装方法と比較し、以下のコードの脆弱性を詳しく述べよ。 if (serendipity_authenticate_author( $serendipity['POST']['user'], $serendipity['POST']['pass'], false, $use_external)) { if (empty($serendipity['POST']['auto'])) { serendipity_deleteCookie('author_information'); return false; } else { $package = serialize( array('username' =>
まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
ユーザー参加型サービスの力
ブログのエントリーというものは、その性質上、どうしても古くなったものは読まれなくなってしまう。当然、コメントやトラックバックが付くのもエントリーを書いてから高々一週間ぐらいのものである。しかし、5ヶ月前に書いたにも関わらず、未だにコメントやトラックバックが付く、驚異的にロングランなエントリーがこのブログに一つだけある。 「コミュニティ型『今日のひとこと』」というエントリーである。 今年の1月に書いたエントリーにもかかわらず、先週だけでも、3つのコメントが寄せられた。どれも、「こちらのブログパーツをブログに貼らせていただきました」という内容である。つまり、今だにこのブログパーツはブログからブログへと増殖中なのである。コメントとトラックバックの数から判断するに、すでに100近くのブログでこのブログパーツは採用されている計算になる(ことわざの数も既に3000を越している)。 このブログパーツがど
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
専門家は個人の責任で情報発信するな - void GraphicWizardsLair( void ); //
