2016年はパスワード流失のニュースが相次ぎました。また2017年7月には流出したパスワードが悪用されたとみられる事例も報道されています。「暗号化」や「ハッシュ化」しておけば安全だったのに、と思われたでしょうか？今回はパスワード流出事例や、パスワード保存時の対策について取り上げます。 2016年9月、米ヤフーから5億件以上のハッシュ（※1）化されたパスワードを含むユーザーアカウント情報が流出（※2）、さらにDropboxから6,800万件以上（※3）のパスワードが流出していたと報道されました。パスワードが流出しても、「暗号化」や「ハッシュ化」されていれば問題ないのでは、と思われた方もいるかもしれません。ところが、暗号化やハッシュ化されたパスワードから元のパスワードが割り出されてしまう事例は多数確認されています。 ※1 ハッシュ（ハッシュ値） 任意の文字列から規則性のない値を生成するアルゴリ

ドメインと Cookie - ウェブ トラッキング（analytics.js） コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このガイドでは、analytics.js での Cookie の使用方法と、複数ドメインのサイトでの設定方法について解説します。 概要 デフォルトでは、analytics.js ライブラリは _ga という単一の Cookie を使用して、固有のクライアント識別子（クライアント ID）を保管します。この ID はランダムに生成される数字となります。生成された ID は Cookie に保管され、Google アナリティクスに送信される各ヒット（またはリクエスト）に付随します。この ID はその後、Google アナリティクス サーバーによってユーザーやセッション、キャンペーンのデータが算出される際に使用されます。 _ga Cook

フィードバックを送信 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 お探しのページは現在ご利用いただけません。 クリックしたリンクは、以前のバージョンであるユニバーサル アナリティクスに関するドキュメントでした。ユニバーサル アナリティクスは廃止され、2024 年 7 月 1 日をもってご利用いただけなくなりました。 アナリティクス ラーニング センターにアクセスして、新しいバージョンの Google アナリティクス 4 をお試しください。 �m� �U : �U

はじめに Google Analytics Advent Calender 17日目の記事です。 この記事では、Googleアナリティクスの非常にマニアックな領域について解説しています。 Google Analyticsでは、ユーザーを特定するために、ファーストパーティーのCookieを用いています。デフォルトでは、_gaという変数名のCookieに、クライアントIDと呼ばれるユーザー特定用の文字列にさらにプラスアルファの文字列が設定されており、2年間の有効期限になっています。 下記が設定される一般的なCookieの例になります。 GA1.1.1333214135.1439909622 このように、Cookieの値は、ドットで区切られた4つのコンポーネントで構成されています。このうち後ろ2つのコンポーネントが一般にクライアントIDと呼ばれているGoogleアナリティクスのプラットフォームに

検索大手のGoogleがウェブクッキーに関するプライバシーポリシーを変更した。同社に対しては、これまでプライバシー擁護派から、ウェブサーファーらの活動に関する情報の保有期間が長すぎるとの苦情が頻繁に寄せられていた。そこで同社は、それらの苦情に対処するため今回の変更に踏み切った。 クッキーとは、コンピュータがウェブサイトを再度訪れた際に認識されるようにコンピュータ内に保存される小さなファイルだ。このクッキーにより、GoogleはEコマースやログインが必要なサイトなどのユーザー設定の記憶が可能になる。同社公式ブログであるGoogle Blogによると、従来Googleのクッキーの有効期限は2038年とされていたが、新ポリシーの下ではクッキーは2年後に期限が切れるという。 クッキーはユーザーが削除したい時にいつでも削除できると考えられていた。しかし実際は、すべての人が削除方法を知っているわけでは

米Googleは7月16日、プライバシー保護への懸念に配慮し、GoogleユーザーのPC上に残るcookieの有効期間を2年間に短縮することを明らかにした。従来、Googleが同社サイトビジター用に設定したcookieは、2038年まで有効となっていた。 Googleのcookieは、サイト訪問時の言語設定など、ユーザーの「好み」を保存するために利用されている。Googleでは、「ユーザーはいつでも、ブラウザのcookie管理設定を自分で変更することが可能」としながらも、ユーザーやプライバシー保護団体などのフィードバックを受け、cookieの有効期間短縮を行うべきと判断したという。Googleでは、今後数カ月にわたり、自動的に2年で期限切れとなるcookieを導入していく予定。ただし、ユーザーがサイト訪問のたびに設定をしなおす必要がないよう、2年以内に同サイトを再度訪れた場合には、そのユー

Cookieやセッション管理といったWebアプリケーションの基本技術について改めて調べてまとめた。 『HTTPの教科書』、『プロになるためのWeb技術入門』が主な情報元で、RFC6265も一部見ている。 Cookieとは HTTPにおいてWebブラウザとWebサーバ間で状態を管理するプロトコル、またはそこで用いられるWebブラウザ上に保存された情報のこと ※ 参考：Cookieとは｜HTTP Cookie｜クッキー - 意味/解説/説明/定義 ： IT用語辞典 Cookieの目的 ステートレス（状態を維持できない）なプロトコルであるHTTP上で、状態管理ができるようにすること Cookieの仕組み まず、サーバがSet-Cookieという名前のフィールドをHTTPヘッダに載せてレスポンスを返す。Cookieとしてクライアントに保存して欲しい情報を、このSet-Cookieフィールドの値とし

概要 2017/11/30にPHP7.2がリリースされた。 PHP5.5.0 から導入されたパスワードハッシュ関数を使ってみた の更新から3年。PHP7.2でハッシュアルゴリズム Argon2 が追加されたので調べてみた。 TL;DR パスワードハッシュ関数(password_*)のハッシュアルゴリズムに Argon2 が追加 PHP7.2ではデフォルトのハッシュアルゴリズムに変更なし（bcyrptのまま） Argon2 Argon2は、2015年の Password Hashing Competition のWinnerになったパスワードハッシュアルゴリズムで、クリエイティブ・コモンズのCC0 と Apache 2.0 のデュアルライセンスで公開 されている。 で、論文がこれ。 Argon2: the memory-hard function for password hashing a

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。 PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CodeIgniterもバージョン3となり、「いちばん変わったのはライセンス」という程度に、フレームワークの大枠にはあまり大きな変化がなかったのですが、セッションまわりのライブラリは完全に書き換えられています。 CodeIgniter 2時代は付属のセッションライブラリが機能不足で、いろいろ学んで自ら手を入れざるを得なかったのですが、新バージョンではどうなっているか見て行きましょう。 $_SESSIONの利用 まずいちばんの注目点は、$this -> session -> userdataというCodeIgniter独自の流儀ではなく、PHP標準のスーパーグローバルである$_SESSIONを使う形となっていることです。すなわち、$_SESSIONを使うような（CodeIgniterとは別系統の）ライブラリも、そのままCodeIgniterのセッションを使えるようになるということです。 いっ

概要 symfonyはsfWebRequestとsfWebResponseオブジェクト経由でCookieへのアクセス方法を提供します。 これによってCookieの利用がとても簡単になり、永続的セッションが簡単に実現されます。 ゲッターとセッター Cookieはクライアントのコンピューターに保存される文字列です。 Webアプリケーションによって書き込みされ、同じアプリケーションもしくは同じドメインでのみ読み込みが可能です。 symfonyにおいて、Cookieのためのセッターとゲッターは異なるオブジェクトのメソッドですが、合理的です。 Cookieを得るには、sfWebRequestオブジェクトを使用して、サーバーに送信されたリクエストを調べます。 他方で、Cookieを設定するために、sfWebResponseオブジェクトを使用して、ユーザーに送信されるリスポンスを修正します。 アクション

引用/参考書籍 「よくわかるPHPの教科書」 「初めてのPHP5」 「パーフェクトPHP」 「体系的に学ぶ安全なWebアプリケーションの作り方」 「PHPスーパーサンプル」 「プロになるためのWeb技術入門」 インターネット上で情報をやりとりするということは、大事な内容をはがきに書いて相手に送るようなもの。その情報が相手に届くまでに誰に見られるかわからない。 概要 HTTPはステートレスなプロトコル。「状態」を持てない。 例えば、「ログイン」ページの場合、「ログインしているかどうか」のチェックをする必要がある。 NG例) http://www.littleforest.jp/itemlist?login=ok loginパラメータを調べてokかどうかを調べる。 →→パラメータを容易に改変できてしまう。 解決策として、Cookieとセッションを使う。 Chromeで、Cookieを確認するに

Getting Started Introduction A simple tutorial Language Reference Basic syntax Types Variables Constants Expressions Operators Control Structures Functions Classes and Objects Namespaces Enumerations Errors Exceptions Fibers Generators Attributes References Explained Predefined Variables Predefined Exceptions Predefined Interfaces and Classes Predefined Attributes Context options and parameters Su

ショートタイムメモリーの備忘録忘れっぽい自分のための備忘録。仕事で困ったことの記録、キャンプなど好きなことの記録、日々の出来事などなど 仕事で毎日違う職場に行くため、 コーヒーを飲むためのマグカップは持参しています 陶器は重いし移動のとき割れると困るし、 どーしようかと悩んで購入したのがこちら スノーピーク 「チタンダブルマグ　300ml　フォールディングハンドル」 チタンダブルマグ 300 フォールディングハンドル キャンプ用にシングルマグを使ってるんですが、熱々のコーヒーを入れると 激熱 なので、値段は倍違いますけど 「絶対ダブルマグにしよう」と心に決めていました 材質については、軽くて、鉄臭さがないということで、 もちろん「チタン」です そんなチタンマグですが、購入してから10か月ほど経ちました。 毎日２～３杯のコーヒーを飲んでいますが、 最近、内側に”茶渋”が目立つようになりました