おさかなラボ - 携帯電話からセッションIDの漏洩を防ぐ
携帯電話向けWebアプリの脆弱性事情はどうなっているのか@高木浩光@自宅の日記 より リンク先のWebサイトには、Refererと共に端末IDもリクエストヘッダとして送信されているわけで、セッションID入りURLと端末IDがセットで流出するのだから、当然、同じHTTPリクエストを送るだけの方法でなりすましアクセスされてしまう。 URIにセッションIDを含める方法では、悪意のあるサイトにリンクを張るだけでRefererヘッダからセッションIDが取り放題となる。また、悪意のあるサイトにアクセスしたユーザーは端末IDもHTTPヘッダに含めそのサイトに送信してしまう。端末IDは簡単に詐称することが出来るので、端末IDをチェックしてもセッションハイジャックの防止線にはならない、というお話。 私は携帯端末は専門ではないので細かいことは良くわからないのだが、以下を前提にして、携帯電話からセッション
Chromeでタブを復元! もしもの時に備える必須エクステンションSession Buddyで遊ぼう!!
Chromeには、Firefoxで標準搭載の“現在開いているタブ(セッション)の保存”機能がない。不測の事態が発生したときや、いつも利用しているタブ環境を復元したいときなど、Firefoxユーザーならお世話になることも多いはず。使用頻度も高い機能なのでChromeでもぜひ導入したい。そこで今回は、Chromeにセッション管理機能を追加できる拡張機能『Session Buddy』を紹介しよう。 Session BuddyはFirefoxのそれとは違い、細かな設定を自分でカスタマイズできるのが特徴。ブラウザを起動すると以前のタブ(セッション)の状態をそのまま自動的に復元するのではなく、まずブラウザを起動してから拡張機能を読み込み、その次にセッションを復元するという流れになる。もちろん、設定次第で以前に閉じたセッション環境をそのまま復元することも可能だ。 また、保存されたセッションを編集し、不要
カートを実装してたらはまった - 記憶は削除の方向で
今まであまりセッションを意識せずに開発してたせいか、つまらないことですごくはまったのでメモしておく。 django のセッションはシンプルで、 request.session を辞書ライクに使えばいい。 なので今回は、商品名の配列とか合計金額を格納してカートを実装することにした。 def cart_add(request): ''' カートに商品を追加する。 ''' cart = request.session.get('cart', { 'total' : 0, 'items':[] }) cart['total'] += int(request.POST.get('price', 0)) cart['items'].append(request.POST.get('itemname', '') request.session['cart'] = cart #略 def cart_lis
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
