携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog
最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
Cepheid [Blog] Perlでセッション管理
Perlでセッション管理を行うプログラムを組むに当たり、Walrus::Session::Liteと言う簡潔で良いモジュールがある。 PurePerlモジュールなのでコピーするだけで使え、データをファイルのみに保存するためベータベースも必要ないというお手軽モジュールだ。 CGI::SessionやApache::Sessionはデータベースと連携でき、非常に高機能なセッション管理機能を備えるが、使いこなしに時間が掛かりそうだったのと、今回のコーディングでは少々大げさすぎるので止めておいた。 で、セッション機能は初めて使うのだが、このWalrus::Session::Liteは一般的Perlプログラマなら一日で十分使いこなせることが出来ると思います。簡潔な機能に絞りこみ実装されている非常に明快でわかりやすいです。 一度session_idをCookieに保存しておけば、別画面のCGIからでも
セッションファイルの削除 - eiji8pou's diary
mixiでみつけたサンプル。CGI::Session使う上では必要だろう。 CGI::Session のドライバにFile, IDジェネレータに MD5 を利用している前提です。 他のドライバや、IDジェネレータを使っている場合は書き換える必要があります。 $sessdirの設定は適宜書き換えてください。 unlinkに失敗したときのフォローがないのでその辺が気になれば加えてください。 ※2008-01-26、コメントで指摘を受けて、明確なエラーを修正。シミケイさん、ありがとうございました。 #!/usr/bin/perl use strict; use warnings; # セッションファイルを置いているディレクトリを指定 my $sessdir = '/home/userdir/sessdir'; opendir(SESSDIR, $sessdir); while (my $sess
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
CGI::Session.pmでセッション管理
はじめに perlでCGI::Session.pmを使ってセッション管理を行う.idの生成・抹消をはじめ,セッション管理に必要な様々な機能を提供してくれ,非常に便利である. CGI::Session.pmは必要なデータをサーバに置く.すなわち,セッションidを生成した後,サーバ内にidに対応するファイル(DBを指定することも可能)を生成する.セッションで必要なデータはサーバのファイルに保管し,プログラム間を行き来するのはセッションidのみである. CGI.pmも一緒に使うと利便性はさらに高くなる. 動作環境 動作環境は以下の通りである.Windows XP上でWindows版のApache,cygwin版のperlが動いている. Windows XP Professional Apache 2.0.48(Windows版) cygwin 1.5.7-1 perl 5.8.0 インストール
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
