セッションフィクセイション脆弱性の影響を受けやすいサイトとは
最近、セッションフィクセイション脆弱性に対する関心がなぜか高まっています。同脆弱性は割合地味な脆弱性であり、話題になることはあまりありません。そこで、関心の高いこの時期に、セッションフィクセイション脆弱性の影響を受けやすいサイトについて説明し、注意を喚起したいと思います。 セッションフィクセイション脆弱性とは セッションフィクセイション(セッションIDの固定化)脆弱性は、なんらかの方法で利用者(被害者)のブラウザ上でセッションIDを強制的に指定して、その後利用者がログインしたタイミングで、攻撃者が「ログイン済みのセッションID」を知ることができるという脆弱性です。「安全なウェブサイトの作り方(改訂第五版)」P17から図を引用します。 図の「2.何らかの方法で自分が取得したセッションIDを利用者に送り込む」手法は、安全なウェブサイトの作り方では説明されていません。そこで、以下に「セッションI
W3C が HTML5 仕様策定完了を発表
日本時間では昨日の深夜でしたが、W3C が HTML5 (および、Canvas 2D) に関する仕様策定完了を発表いたしました。両仕様とも、勧告候補 (Candidate Recommendation) となり、実装、運用テストによる検証段階に入ります。 また、同時に HTML 5.1、HTML Canvas 2D Context, Level 2 の草稿も公開され、次バージョンの仕様策定がスタートします。この辺は以前から発表されていた予定 (こっちも参照) に則っています。 W3CがHTML5仕様策定完了を発表、相互運用性テストおよびパフォーマンス向上へ : W3C プレスリリース なお、勧告候補になっても、以前から続いている、例えば hgroup 要素どうすんの?的な議論は継続していますが、こういう個々の機能の話が全体の仕様策定を遅延させないように、仕様をモジュール化する、拡張仕様 (
NTT社長「5年後にiPhone10が出たとして、まだ人気があると思いますか?そういうのを見極めないと」 : SIerブログ
1 : シンガプーラ(福岡県):2012/12/15(土) 20:58:31.00 ID:xfl94qMT0 iPhoneが生態系を崩す? ドコモはかたくなにiPhone無しの路線を貫いていますが、 そうした生態系を作る上でiPhoneの存在を受け入れられないのでしょうか。 従来のキャリアの土俵で独り相撲しようとするならiPhoneは危ないパートナーかもしれません。 ネットワークをフリーにして、アップルストアを独占的な立場にするというのがアップルの 考え方です。共存できる相手と見るか、全く相いれない相手と見るか。これから考えていけばいい。 足下の顧客流出ではかなりの苦戦が続いています。iPhoneを扱えば流出を止められるのでは? 今日明日の競争を考えるのなら非常に有力な端末だが、自分たちが考える次のモデルのときには どうか。仮に「iPhone 10」まで出たとして、競争力は今のように続いて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[公式ブログ] サントリートピックス - 広報部員からの最新情報
