セッションアダプションとセッションフィクセイションとセッションハイジャックの違いとは
(Last Updated On: 2018年8月13日)徳丸さんがセッションアダプションをなくしても、セッションハイジャックが出来るのでsession_regenerate_id(true) (trueを付けると古いセッションデータは削除される)をしなければならないという記事を書かれています。 セッションアダプションがなくてもセッションフィクセイション攻撃は可能 http://tumblr.tokumaru.org/post/37676352092/session-adoption-and-session-fixation まず結論を書きます。徳丸さんが「セッションフィクセイション攻撃は可能」と言われているのは間違いです。正しくは「セッションハイジャックが可能」です。 この議論は別々の異なる脆弱性を一緒にした議論で正しい議論とは言えません。セッションアダプション、セッションフィクセイショ
国際化ドメイン名のフィッシング詐欺はブラウザの責任ではないとJPRSが見解
(Last Updated On: 2018年8月3日)CNET Japanから。 最近話題になってきた、古くて新しい(?)国際化ドメインの似ている文字や表記の問題についれJPRSがコメントしているようです。日本語ドメインは安全と主張しているようですが、JPRSが「日本語ドメインは危険です」とは言えないでしょう。 JPドメインはICANNガイドラインに基付いてDNS登録のルールを運用している。日本語文字列でも英数字でもない文字ではJPドメインのDNS に登録できないのである。さらに、例えば「A」と「a」と「A」と「a」はすべて「a」に変換してから登録するなど、文字の正規化を図っている。以上のルールにより、JPドメインでは似た文字問題が起こらない。異なる言語圏の文字を混ぜた場合、そもそもDNSに情報が登録されていないためだ。 /.でも記載されていましたが、日本語ドメインではカタカナの「へ」と
.xxxドメイン却下
(Last Updated On: 2007年4月4日)ここ数年間、議論されていた.xxxドメインが却下されたそうです。当然です。ほとんどフィッシングくらいにしか使われていない!? .infoや.bizよりも悪いドメインになりそうだった.xxxドメインが却下されて何よりです。 新しいTLDはほとんど必要ないし、作って利益があるのはインターネットを利用するユーザでも、サービスの提供者でも無く、フィッシングをする悪人、屋号・商標などを登録して悪用(たとえば恐喝まがいのドメインセールス)する悪人またはレジストラだけです。 IDNも至極迷惑なのですべてのブラウザがデフォルトで無効にしてほしいくらいです。標準に準拠しなくなる!という議論もあると思いますが、今のブラウザは標準準拠していない機能ばかりです。どうせ標準に準拠していないのでIDNに準拠しない方が問題が少なくなる、と考えている人も少なくないと
日本語ドメインは覚えやすい、分かりやすい、そしてだましやすい
(Last Updated On: 2007年6月23日)いくら個人ブログで「信頼するに足る会社は日本語ドメインを利用すべきはない」 http://blog.ohgaki.net/index.php/yohgaki/2007/04/03/xxxa_a_ia_ca_sa_aac http://blog.ohgaki.net/index.php/yohgaki/2005/02/12/a_fe_a_a_a_ia_ca_sa_a_ra_a_pa_a_ma_sa_de と書いても、そのうち日本語ドメインが氾濫するのでしょう… お名前.comから送信されたメールに次のように書いてあります。 ┏━━━━━━━━━━━━━━━━━━━━┓ ┃日本語ドメインは覚えやすい! ┃ ┗━━━━━━━━━━━━━━━━━━━━┛ 長い名称やキャッチコピーをドメイン名にする際に、ローマ字ドメインに比べて日本
画像ファイルに PHP コードを埋め込む攻撃は既知の問題
(Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃
PHPセッションアダプションをスクリプト側で修正する方法
(Last Updated On: 2018年8月13日)PHPのスクリプトを使ってアダプティブなPHPセッションをアダプティブにしない方法を紹介します。 このブログで紹介していたかどうか覚えていないですが、セッションアダプション対策としてsession_regenerate_id()が導入された時に議論・紹介されているので知っている方も多いと思います。(というより、PHPerの常識ですよね?) まずはセッションアダプションの原理と対策の復習をしておきます。 原理: 未初期化のセッションIDを受け入れる 対策: 初期化済みセッションIDのみ受け入れる session_regenerate_id()は新しいセッションIDを生成して新しいセッションクッキーを作成して、セッションデータを保存するようになっています。session_regenerate_id()を呼んだだけでは、なんらかの方法で複
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
