どうして JWT をセッションに使っちゃうわけ? - co3k.org
備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ?」というタイトルが不適切だとご指摘をいただいています。 その意見はもっともだと思いますので、現在、適切となるようにタイトルを調整しています。 ご迷惑およびお騒がせをして大変申し訳ございません。 本文の表現についても改善の余地は大いにありそうですが、こちらは (すでにご意見を頂戴している関係で、) 主張が変わってしまわないように配慮しつつ慎重に調整させていただくかもしれません。 はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッシ
CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある - co3k.org
CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。 いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求めるべきパラメータとしての条件はたしかに満たしています。 たとえば 『安全なウェブサイトの作り方』 改訂第6版では以下のように解説されています。 6-(i)-a. (中略) その「hidden パラメータ」に秘密情報が挿入されるよう、前のページを自動生成して、実行ページではその値が正しい場合のみ処理を実行する。 (中略) この秘密情報は、セッション管理に使用しているセッション ID を用いる方法の他、
Symfony のセキュリティリリースハンドリングがチョベリグになった話 (Symfony Advent Calender 2012 JP - 23日目) - co3k.org
Symfony Advent Calendar 2012 JP の 23 日目です。なんか 17 日目で川原君から Note: Security Fix 周りの問題については、後日 @co3k が取り扱うようです。 —Symfony Advent Calendar JP 2012 - Day 17 — Symfony Advent Calendar 2012 - Day 17 v1.0 documentation と突然の CM (AA 略) をいただいていましたが、問題というか、 Symfony のセキュリティリリースハンドリング周りがちょこっと改善いたしましたのよ的な話をしていこうかと思います。 どう改善されたのサ 2012/12/18 に Symfony の公式ブログにて、 Security Issue Management Improvements というエントリが公開され、次のよ
secure.softbank.ne.jp について SoftBank に質問したら残念な結果になったの巻 - co3k.org
割と個人的には速報なので簡単にまとめます。 高木浩光さんの http://twitter.com/HiromitsuTakagi/status/16057716034 のアドバイスを受けて、 secure.softbank.ne.jp を通さないようにする方法などについて、以下のような質問を投げました。 https://secure.okweb3.jp/mobilecreation/EokpControl?&event=QE0004&tid=24187 HTTP から HTTPS へのリンクについて OpenPNE (http://www.openpne.jp/)というオープンソースのソフトウェアを開発している者です。 SSL 環境でログイン継続に Cookie を使うにあたり、 URL として https://example.com/ のような形式と、 https://secure.so
OpenPNE 3.5.3 での「かんたんログイン」の端末固有IDからの(部分的)脱却で困った点 - co3k.org
(個人ブログなので「携帯電話個体識別番号」ではなく「端末固有 ID」と呼ぶよ) ということで、 OpenPNE 3.5.3 でおこなった「かんたんログイン」の変更について http://www.openpne.jp/archives/5070/ の件です。 ここで説明されているのは(技術者には既知である事項の説明を除くと)、要するに以下のようなことです。 Cookie 内のランダムな ID を見る認証手段を用意したよ Cookie が使える端末では端末固有 ID ではなく Cookie 内の ID を見て「かんたんログイン」するようにしたよ 認証手段を「A: Cookie 内 ID のみ」「C: 端末固有 ID のみ」「B: A と B を併用」できるようにしたよ(see: http://twitter.com/co3k/status/15973375832 ) B の方法を選んだ場合は、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
