Kazuho@Cybozu Labs: PERL5WEBDB で Movable Type デバッグ
« Firefox の脆弱性報告 | メイン | Captcha Plugin/ja について » 2006年06月20日 PERL5WEBDB で Movable Type デバッグ PERL5WEBDB のバージョン 0.02 をリリースしました。BEGIN ブロック内のコード表示をサポートしたので、MovableType のデバッグも可能になりました。 MovableType をデバッグする際の具体的な手順は以下のとおりです。 1. PERL5WEBDB のインストール こちらから最新版をダウンロードして展開。bin/makeconf.pl を実行して設定を行い、apache を再起動してください。 # tar xzf perl5webdb-0.02.tar.gz # cd perl5webdb-0.02 # bin/makeconf.pl `pwd` 14050 username
hata's LABlog: CSRF対策 with JavaScript
JavaScript を使った CSRF 対策の方法として、以前 Kazuho@Cybozu Labs で紹介されました。 CSRF 対策 w. JavaScript CSSXSS に対して脆弱でない CSRF 対策とはどのようなものか、という議論が続いているようですが、JavaScript を用いてよいのであれば、簡単な対策手法が存在すると思います。 ここでさらに一歩進めて、既存の FORM 要素に onsubmit 属性、および hiddenフィールドを直接追加せずに、JavaScript ファイルを1つインクルードすることにより、既存アプリケーションの書き換えをさらに少なくする方法を紹介したいと思います。 以下の JavaScript ファイルをHTMLの最後でインクルードする方法です。 fight_csrf.js sessid_name = ""; scripts = docume
Kazuho@Cybozu Labs: はてな認証 API の改善案
« Re: 攻撃してください→はてな認証の仮想セッション | メイン | 目指せバイナリアン (C-0.06) » 2006年05月11日 はてな認証 API の改善案 だんだん自分の中でも認証 API の問題が整理できてきたように思うので、改善案を書こうと思います。 まず、そもそも認証 API に何を期待するのか、という点について。 従来の各サイト毎にパスワードを入力する方式は、 ・パスワード管理が面倒 ・HTTPS じゃないので、パスワードがネットワーク上を平文で流れる ・メールアドレスが漏洩するかも (スパム襲来) といった不便さや懸念がありました。しかし、外部の認証 API を使用するウェブアプリケーションについては、これらの問題が解消できるはずです。具体的には、cookie がもれない限り安全な認証 API注1があればベストでしょう。 で、はてな認証 API は、以下の各点を修正
Kazuho@Cybozu Labs: はてな認証 API への攻撃シナリオ
« 秘密鍵を後置している MAC の危険性 | メイン | Re: 攻撃してください→はてな認証の仮想セッション » 2006年05月09日 はてな認証 API への攻撃シナリオ 少し方向を変えて、 cert の漏洩に関する話です。 はてな認証 API における cert の使用法においては、 条件A) cert が第三者に漏洩しない 条件B) cert を最初に使うのがサードパーティアプリケーションである のいずれかが満たされれば良いです。 しかし、実際のところ cert が漏洩した場合に条件 B を破る (攻撃者の ?cert=... リクエストが、正規ユーザーのリクエストよりも先に処理されるようにする) ような攻撃を構築することは可能なので cert が漏洩する=セッションハイジャックが可能注3になる、と考えなければなりません。 じゃあ、どういう場合に、cert が漏れるか、というこ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
