3分で分かるAngularJSセキュリティ - teppeis blog
先日のng-mtg#4 AngularJS 勉強会でLTしようと思ったけど申し込みが間に合わなかったのでブログに書きます。 先月リリースされたAngularJS 1.2はセキュリティがんばってる的なことを聞いたので、セキュリティ周りの仕組みを調べてみました。 お題は以下です。 CSRF JSON CSP (Content Security Policy) Escaping CSRF ユニークなトークンをHTTPリクエストに載せてサーバーでチェックする対応が世の中では主流(最近はカスタムヘッダのチェックによる対策も) AngularJSでは、XSRF-TOKEN Cookieにトークンが載っていると、$httpを使ったHTTPリクエストのヘッダに自動的にX-XSRF-TOKENヘッダーが付く。 XSRF-TOKEN CookieはもちろんNot HttpOnlyで。 Angular界ではCS
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
「疑わない」という怠惰について - 24時間残念営業
2013-06-01 「疑わない」という怠惰について http://www.watanabemiki.net/journal/post-475.html 読んだ。 ちなみにクソ長いです。 正直、真正面から罵倒したいような気分がないでもないっていうか、別の場所のブコメではほぼ罵倒に近いブコメをつけた。俺はこの人はバカだと思う。バカが言い過ぎなら、考え足らずといってもいい。 ところで、いまの流れだとこの人のことをバカであるとする意見のほうが賛同を得やすいはずだ。しかし俺はひねくれた人間なので、ここで読む人に再考を促す。俺は自分の意見を書くが、それを読んだうえで、もう一度考えてほしい。みんながこの人を叩いていいっていうそういう流れになってるからこの人を叩いているのか、根本的にこの人の言ってることがおかしいから反論されるのか。それとも、実は正しいのは彼であり、俺のほうがまちがっているのか。 まず、
Using Cryptography to Store Credentials Safely
Following our talk "Security and Privacy in Android Apps" at Google I/O last year, many people had specific questions about how to use cryptography in Android. Many of those revolved around which APIs to use for a specific purpose. Let's look at how to use cryptography to safely store user credentials, such as passwords and auth tokens, on local storage. An anti-pattern A common (but incorrect) pa
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
第一原発行ってきたけど質問ある?
1 名前:以下、名無しにかわりましてVIPがお送りします:2011/04/09(土) 21:57:53.43 ID:d/Bi4Oc/0 特定されると嫌だから詳しい作業内容とかは勘弁な 2 名前:以下、名無しにかわりましてVIPがお送りします:2011/04/09(土) 21:58:50.15 ID:m+yfP9aw0 余命何年減った? >>2 3秒くらいじゃね? 4 名前:以下、名無しにかわりましてVIPがお送りします:2011/04/09(土) 21:58:57.43 ID:VB+LMpsR0 どこの第一原発なの? >>4 ああ、もちろん福島第一原発な 5 名前:以下、名無しにかわりましてVIPがお送りします:2011/04/09(土) 22:00:09.48 ID:DAbVt2sR0 戻ってくるほど人員補充されてるの? >>5 正確な人数は知らないけど200~300人はいた 俺は来週ま
東日本大震災福島第一原発付近レスキュー状況と現実
動物病院とシェルターを併設した愛護団体です。飼い主のいない犬猫たちに不妊手術と医療を!! 老猫・傷病猫100匹の保護猫がシェルターで暮らしています。 救えるのは皆の愛!応援して下さい! 心ある獣医さん、ボランティアさん、募集中! 福島から戻りました。 車内での仮眠以外にはもう40時間以上起きたままです。フラフラで報告もままなりません。 起きたらすぐに全国の皆様、海外の皆様にもお願いがございます。 すぐに掲載致しますのでどうかどうかご覧になって下さい。助けて下さい。 どうかお願い申し上げます。 これだけアップします。 これは、東日本大震災福島第一原発付近レスキュー状況と現実です。 地獄です。 けれど、この世と思えない今までにありえなかった現実を知ってもらい、あなたに動いて頂かなければ、まだ生きている犬猫、牛、馬、ヤギすべての命がこの苦しみの中で息絶えていくのです。 被災者を更に苦しめ、犬猫、
gawker mediaのにのまえにならないようにパスワードを保存する方法 - karasuyamatenguの日記
gawker mediaがハックされて惨憺たることになっている。ユーザのパスワードが数万(?)と漏れて、同じパスワードを使い回しているユーザの別サービス(ツイッターやメール)まで覗かれるハメに。どうしてこうなったかには色々あるんだろうど、一番マズかったのは弱いパスワードの暗号化の仕方だ。 そこで、Codaさんからアプリケーション開発者へのアドバイス: bcryptを使え、bcryptを使え、bcryptを使え、bcryptを使え、、、 http://codahale.com/how-to-safely-store-a-password/ MD5, SHA1, SHA256, SHA512, SHA-3などは使わないこれらはデータの整合性チェック用の高速ハッシュアルゴリズム。高速はデータチェックにはいいが、パスワードを隠すにはよくない。 今時のpcは毎秒330メガのmd5を計算できる。6文字
初音ミクから「たくろく!」へ 山口生まれのネット系シンガー (1/5)
とらのあなでKNOTSさんの『ヘルメンマロンティック』とbakerさんの『film stock』を同時購入すると、KNOTS&baker作詞・作曲の「青春18切符in横須賀」を収録したCD-Rが特典として付いてくる 「テレパステレパス」や「アイシンクアンシン」など、ニコニコ動画のボーカロイド曲でお馴染みの若干PことKNOTS(ノッツ)さんが、初の一般流通アルバム「ヘルメンマロンティック」をリリースした。 アルバムにはボーカロイド曲は一曲もなく、シンガーソングライター「KNOTS」のベスト盤とも言える内容になっている。 KNOTSさんは山口県在住の宅録系シンガーソングライターで、これまでに自宅録音の自主制作盤を3枚発表している。またボーカロイドブーム以前からライブ活動も行なってきた。漫画も以前から描き続けていて、現在はpixivで公開しているマンガ「たくろく!」が人気だ。 彼の音楽の魅力は、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
