セキュリティ周りでよく見かける単語についてまとめ(XSS,CSRF,CSP) - Qiita
概要 基本情報技術者のテキストなどでふんわり知ってた単語について改めてまとめました。 誤りなどありましたらご指摘いただけますと幸いです。 クロスサイトスクリプティング(XSS)とは XSSについて 悪意のあるスクリプトをWebページに注入することで、Webページの閲覧者のブラウザ上で悪意のある動作を実行する攻撃のこと。 XSS攻撃は、脆弱性のあるWebアプリケーションにスクリプトを仕込み、そこにアクセスした被害者から情報を盗むことが目的。 XSS攻撃の手順(掲示板サービスの例) 攻撃者は、脆弱性のある掲示板サービスに悪意のあるスクリプトを仕込む。 スクリプトが実行されるよう、攻撃者は、被害者にスクリプトを実行するよう誘導する。 被害者が誘導に従いスクリプトを実行すると、悪意のあるスクリプトが被害者のブラウザ上で実行される。 悪意のあるスクリプトによって、被害者のブラウザからCookie情報
セッション認証とトークン認証について
概要 セッション認証とトークン認証について整理する。下記サイトで詳しく解説されていたので、自分はあくまで学びをアウトプットする目的として本記事を作成する。詳しく学びたい人は、こちらで確認してほしい。 早速だがセッション認証とトークン認証について、一言で言うと、セッション認証はサーバー側主体の認証方法であり、トークン認証はブラウザ側主体の認証方法である。 セッション認証 セッション認証は、ユーザがログイン成功した際に、ユーザ情報と紐付けたセッションIDを返す。ユーザはこのセッションIDをブラウザ上でクッキーとして保存して、サーバー側へリクエストを送る。具体的な流れを下記に示す。 ユーザがログイン認証を経て、サーバがユーザ情報と紐づけたセッションIDを発行する。 発行されたセッションIDをユーザのブラウザが受け取り、クッキーとして保存する。 クッキーとして保存されたセッションIDを用いて、ユー
【認証】JWTについての説明書
はじめに この記事を読んでいるあなたはJWTについて知っているだろうか?JWTは、認証されたユーザを識別するために最も一般的に使用される。JWTは認証サーバから発行されて、クライアント・サーバで消費される。 今回の記事では、Webアプリケーションの認証方法として最も利用されているJWT認証を簡潔に解説する。 本記事の読者の対象 JWT認証について知らない人 JWTのメリット・デメリット、仕組みについて詳しく知りたい人 アプリケーションの認証方法について詳しく知りたい人 JWTとは JSON Web Token(JWT)とは、クライアント・サーバの間で情報を共有するために使われる規格の1つである。JWTには、共有が必要な情報を持つJSONオブジェクトが含まれている。さらに、各JWTはJSONのcontentsがクライアントあるいは悪意のあるパーティによって改ざんされないように、暗号(ハッシュ
【決定版】プログラマーが情報収集で必ず確認するべきWEBサイト 8選(2022年10月時点)
はじめに 今回の記事では、プログラマーが情報収集で必ず確認するべきWEBサイトを8つ一覧形式で紹介する。本記事の読者の対象は主に以下の通り。 プログラミング初心者 情報収集で困っているプログラマー 他のプログラマーの情報収集を参考にしたいプログラマー 効率よくプログラミング学習を進めたい人 プログラミング学習を楽しくさせるサイトを知りたい人 freeCodeCamp.org 世界最大規模のプログラミングメディア「freeCodeCamp」の公式サイト。8,000以上のチュートリアルがあり、しかも無料でPythonやJavaScriptなどのプログラミング言語の基礎的な文法、機械学習、WEB開発やモバイル開発などをこの1つのサイトで体系的に学べる。プログラマーは全員このサイトを確認するべきである。 GitHub 世界中のプログラマーがソースコードを共有したり、共同でプロダクトを開発したりする
WebアプリケーションでJWTをセッションに使う際の保存先は(自分なりに説明できれば)どちらでもよいと思います - 日々量産
以下のツイートを読んで気持ちが昂ったので。 みんな、もうSNSでいがみ合うのはやめよう。 平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き?— 徳丸 浩 (@ockeghem) 2022年2月11日 というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。 ただ、考えるたびに変化しているので、変わるのかもしれない。 要約 タイトル。 あとは優秀な方々が既に色々考えておられるのでそちらを読むとよいでしょう。 SPAセキュリティ入門~PHP Conference Japan 2021 JWT カテゴリーの記事一覧 - r-weblife どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ? - co3k.org JWT形式を採用したChatWorkのアクセストークンについて -
窓辺の小石(25) デジタル政府にアクセスしてみる
9月1日にデジタル庁が発足したらしい。21世紀に入ってから、日本の政府の「電子化」が進められ、これを電子政府と呼んでいたが、これからはデジタル政府というわけだ。というわけで、デジタル政府にちょっとアクセスしてみた。筆者が会社員をしていた20世紀には、都道府県別の人口や世帯数を調べるだけでも、書籍などの紙の資料を入手する必要があった。インターネットでそういう書籍や資料の販売ページや図書館の目録は探せたが、肝心の情報は紙の中だった。しかし、現在では、インターネット検索で簡単に情報が手に入るだけでなく、Web APIを介して、データを直接、表計算ソフトなどに取り込むことも可能になった。 デジタル政府から統計情報を得る 旧電子政府の施策により、政府の持つさまざまな情報がインターネットからアクセスできるように整備されてきた。役所というのは、縄張り意識が強いので、それぞれの省庁のページがあり、それぞれ
【全部無料】ハマると時間が秒で過ぎる英語圏のプログラミング系サイトまとめ【英語学習】 - Qiita
はじめに 近頃の翻訳技術の発達は目覚ましいですが、いまだに、「英語ができなくても何も問題はない」というところまでは程遠いのではないでしょうか。特にエンジニアであれば、なおさらだと思います。 英語で情報収集ができれば、英語力の向上と情報収集が同時にできて、一石二鳥ですよね。英語圏の情報は一次情報であったり、情報の速度が早かったりもするので、「情報の価値」、という点においてもかなり優秀です。 というわけで今回は、英語学習はもちろん、情報収集にも死ぬほど役立つ英語圏のサイトを紹介します。すべてのサイトがプログラミング関連で、しかも面白いサイトばかりなので、ハマるとヤバいです。 【10選】ハマると時間が一瞬で過ぎるプログラミング系の英語圏のサイトまとめ ネタ系 Reddit 日本で言うところの、2チャンネルとツイッターの中間のようなサイトです。プログラミング関連だけじゃなくて、各種テーマの話題のス
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
