Yusuke Ando @yando ニューヨークに来てから同僚はみーんな年上。みんなコード書きまくり。これって新鮮です。子持ちのお母さんも多い。

CSRF対策のtokenはセッションIDで良い セキュリティ的にワンタイムトークン>セッションIDではない。 という話が、この辺の記事に書かれています。 高木浩光＠自宅の日記 - クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法 高木浩光＠自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか？ 肝はこういう事のようです tokenは外部のサイトから知り難い(実質知り得ない)ものでないといけない セッションIDはcookieに格納される document.cookieは自ドメインのものと親ドメインのものしか見れない→外部サイトで動かすJavaScriptからは参照できない セッションIDは『暗号学的に安全な擬似乱数生成系で生成されているはず』(引用) 推測も事実上できない 補足すると、セッションIDを使用したCSRF対

2010年10月08日06:30 カテゴリLightweight Languages javascript - making primitive types extendable その方向性や、よし。 【連載】Extend.jsで楽しくJavaScriptプログラミング！ - 第1回 Extend.jsのつかいかた (JavaScript,javascript,extend.js) - 株式会社あゆた しかし、Extend.jsは以下のような特徴を備えています。 オブジェクト指向ライクな利用感、かつjQueryライクな使いやすさ Web Workersの中でも安心して利用できる 拡張機能も備えたフレームワークになっている しかしこれでは萎えてしまう。 なんとか primitive types も extended な状態を保てないだろうか。 というわけで、やってみたのが以下。あくまで pr