タグ

2019年10月8日のブックマーク (2件)

  • 間違いだらけのHTTPセッション管理とその対策

    (Last Updated On: 2018年10月12日)HTTPセッション管理はWebセキュリティの中核と言える機能です。Webセキュリティの中核であるHTTPセッション管理に設計上のバグがある事は少なくありません。今回のエントリはPHP Webアプリ開発者ではなく、主にWebフレームワーク側の開発者、つまりPHP体の方に間違いがあるという話しです。Webアプリ開発者の回避策も紹介します。 まずセキュリティの基として「入力のバリデーションを行い、正当な入力のみを受け入れる」があります。しかし、PHPに限らず多くのセッション管理機構は当たり前の「入力のバリデーションを行い、正当な入力のみを受け入れる」を行っていません。セッションIDの再生成(リセット)も不完全な物が多いと思います。 参考: 知らないと勘違いする「合成の誤謬」の罠 開発者は必修、SANS TOP 25の怪物的なセキュリ

    間違いだらけのHTTPセッション管理とその対策
    pmint
    pmint 2019/10/08
    間違いだらけなのは筆者。考えすぎて馬鹿になるパターン。"直ぐに削除してしまう仕様の場合"は初回ログインでも言えるでしょ。再生成と初回生成を分けて考えてる時点で馬鹿になっている。
  • 台風15号での住宅被害 一部損壊も国の支援対象に拡大 | NHKニュース

    先月の台風15号で千葉県などで相次いだ住宅被害を受けて、国は一部損壊の住宅についても修理費用を支援することを決めました。これまで災害救助法の対象は半壊以上とされていましたが、今後は一部損壊の住宅に拡大されることになります。 このため国は、災害救助法で応急修理の費用を支援する対象を、これまでの全壊と大規模半壊、半壊から、10%以上の損害を受けた一部損壊まで拡大することを決めました。 費用は30万円を上限とし、今年度からの災害が対象で、 ▽台風15号で被害を受けた千葉県内の41市町村と東京の大島町、 ▽8月の大雨で被害を受けた佐賀県内のすべての市と町にも適用されるということです。 審査については、自治体の発行するり災証明書には損害の割合は記載されていないため、応急修理の申請を受け付けながら同時に進めていくとしています。 一方、一部損壊の住宅が多い千葉県については、損害が10%未満の住宅でも、自

    台風15号での住宅被害 一部損壊も国の支援対象に拡大 | NHKニュース
    pmint
    pmint 2019/10/08
    どれくらいの人が「千葉だけ特例というのは納得いかない」と言うんだろう。京アニ寄付金のときのように。