書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性 | 徳丸浩の日記
図のように、大垣本のCSRF対策方式(以下、「大垣方式」と表記)では、トークン(同書ではフォームIDと表記)をランダムな鍵として生成(②)し、それをフォームの隠しフィールドとDBに保存します(③、④)。ユーザーがフォームをサブミット(⑤)すると、送信されてきたトークンがDB上に存在するか確認(⑥)し、あればトークンを削除(⑦)して、サーバー上の処理に進みます。⑥でトークンがDBにない場合は、エラーとして処理には進みません。 一般的なCSRF対策手法との違い 大垣方式が一般的なCSRF対策と異なる点は以下の2点です。 フォームの2重投稿防止機能を兼ねている トークンがセッション変数ではなくDBに保存される トークンの有効範囲は? トークンがDBに保存される場合、トークンの有効範囲が気になるところです。大垣本および第二版のソースを見ると、トークンを保存するテーブルの定義は以下の通りです。 CR
グーグル対オラクルのJava訴訟、米最高裁がグーグルの上告を棄却--Reuters
米連邦最高裁判所は米国時間6月29日、著作権訴訟に関するGoogleの上告を棄却したとReutersが報じた。これによって、GoogleはOracleに対し、Javaプログラミング言語を使用するためのライセンス料を支払う義務が生じる可能性がある。2014年に控訴裁判所がOracleに有利な判決を下したことを受け、Googleが最高裁判所に上告していた。 Oracleは29日の声明で、最高裁の判断を歓迎した。 「29日の最高裁判所の判断は、イノベーションと、著作権保護を拠り所にイノベーションを推進する技術業界にとっての勝利である」とOracleの法務顧問を務めるDorian Daley氏は声明で述べた。 Googleは、法廷での争いを続けたい意向を表明した。 「ソフトウェア業界でイノベーションと競争を促進する相互運用性を引き続き擁護していくつもりだ」とGoogleの広報担当者は述べた。 Th
まつもとゆきひろ氏が「生涯プログラマー」でやっていきたい若手に贈る3つの言葉 - エンジニアtype | 転職type
2015.06.03 スキル 社会人になったばかりの若いエンジニアの中には、一度この道に足を踏み入れたからには、自らの技術一本で身を立てていけたらという、強い思いを胸に秘めている人も少なくないのではないか。 そう考えて今回、Rubyの父として知られるまつもとゆきひろ氏に、あえて「これからの時代に技術だけで生き残るには?」という偏ったテーマで取材を依頼した。返ってきたメールの冒頭にあったのが、次の一文である。 「技術だけで生きるというのは幻想である」 まずはその真意を聞くところから、取材は始まった。 まつもとゆきひろさん(@yukihiro_matz) 1965年生まれ。筑波大学第三学群情報学類卒業。プログラミング言語Rubyの生みの親。株式会社ネットワーク応用通信研究所フェロー、一般財団法人Rubyアソシエーション理事長、Speeeをはじめとした複数社の技術顧問、Herokuチーフアーキテ
京都BAL(バル)
穏やかな春の兆しとともに170周年を祝福し、お茶への情熱を表現する傑作が誕生。 「Sakura,Sakura!2024」:【MARIAGE FRÈRES】 京都BAL 1F・神戸BAL 2F
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
