CSRF対策について CSRFとは? CSRFによる被害 通常のCSRF対策 SPAサイトのCSRF対策 方法1 リファラで判断 方法2 ログイン時に発行したトークンを照合 方法3 CORSと組み合わせてOriginをチェック CSRF対策について CSRFとは? このページに来られた方ならもう理解している方も多いとは思いますが、CSRFについて簡単に説明します。 CSRFはリクエスト強要(CSRF:Cross-site Request Forgery)という意味で、クロスサイト(Cross-site)の名の通り、正規のサイトとは別のサイトからリクエストを送らせる偽造工作です。 Webでサーバサイドの開発をしている方ならご存知だとは思いますが、例えばフォームのPOST処理は必要な項目やURLさえわかっていればどこからでもリクエストすることは可能ですよね。(リクエスト先が受け付けてくれるかは
脆弱性の報告の中で、常に一定の割合を占める脆弱性に「クロスサイトスクリプティング」があります。この脆弱性を悪用されると、利用者のWebブラウザ上でスクリプトを実行され、例えば悪意のあるWebサイトに誘導されてしまいます。その結果、利用者の個人情報などが盗まれてしまう可能性があります。ここでは、クロスサイトスクリプティングとは何なのか、どのような対策をすればいいのかを説明していきます。 1:クロスサイトスクリプティングとは クロスサイトスクリプティング(Cross Site Scripting:CSSはCascading Style Sheets、カスケーディング・スタイル・シートと混同する可能性があるため、XSSと呼ばれる。)は、利用者のWebブラウザ上で、本来は実行されるはずのないスクリプトが実行されてしまう脆弱性です。この脆弱性が悪用されると、利用者のWebブラウザ上で任意のスクリプト
rubyのwafでsinatraが最近人気なのでBBS作ってソース晒してみた。 http://github.com/hirafoo/sinatra_bbs/tree/master rubyもrailsも、ほぼ知識無しの状態でやったので色々見苦しいはず。俺が使えるのはrailsの中でのマイグレーションのみです。 sinatraについては以下が大変参考になります。 http://labs.unoh.net/2009/05/sinatra.html 第9回 SinatraとSequel・Hamlで掲示板アプリを作る:Ruby Freaks Lounge|gihyo.jp … 技術評論社 作ったBBSの機能、特徴など。 ActiveRecord使用 railsと同じコマンドによるマイグレーション セッション管理 セッションをDBに保存 ログイン 認証 ページング ERB使用 にげっとのソースを晒し
■CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね そのうち整理され、まとまった情報が日本語で出ることでしょうけれど。とりあえず。 Secunia - Advisories - Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information Secunia - Internet Explorer Arbitrary Content Disclosure Vulnerability Test CSSXSS脆弱性と同じ方向性のIEの脆弱性が発見され、実証コードがSecuniaでデモンストレーションされています。 このことによりログイン中の本人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも… mhtml
データ共通BITA部の玉井 孝平です。 2021年2月のtechtektのインタビュー記事、法人顧客に向き合うすべての社員をサポート!―BIツールの導入・普及のウラガワにて、パーソルキャリアにおけるPower BI活用事例についてご紹介いただきました。 我々データ共通BITAでは、分析、可視化業務担当者に合ったツールを提供すべくTableau、Power BIを中心とした環境を提供しています。今年度、Power BIの実行環境のリニューアルを行ってきました。呼び難いため以降、BI(ビーアイ)システムとします。今回はそのアーキテクチャに着目して紹介します。 BIシステムとは BIシステムをリリースしたのは2017年下期に遡ります。現在のBIシステムと区別するため、旧世代BIシステムとでもしておきます。 世の中に目を向けると、当時のBI界隈はセルフサービスBIって話題がどこに行っても飽きるくら
自己紹介 opengl-8080 主に Qiita で技術メモを書いたり 関西の SIer 勤務 今日お話しすること Spring Security が保護してくれること、してくれないこと Spring Security を導入すれば、この攻撃は守ってくれる この攻撃は Spring Security の守備範囲外なので別途対処が必要 仕様や機能の話をメインにして、実装の細かい話は無し デモ用アプリ 起動方法 GitHub からプロジェクトをダウンロードし、プロジェクトのルートで gradlew start を実行 ※初回は Payara (60MB)などのダウンロードが行われるので注意 動作確認 AP サーバーが起動したら、以下の URL にアクセスする。 https://localhost:8443/secure Spring Security を使用したアプリケーション https:
Amazon Cognito User Poolsを使って、webサイトにユーザ認証基盤を作る - Qiita
概要 AWS Summit 2016 Chicago にてAmazon Cognitoの新機能として発表された「User Pools」を使ってwebサイトにユーザ認証基盤を作ります。User Poolsはサインインやサインアップ、セッション管理など、よくあるユーザ管理機能をマネージドで提供してくれるサービスです。 [New] Amazon Cognito 向け User Pools User Poolsの作成 [新機能] Amazon Cognito に待望のユーザー認証基盤「User Pools」が追加されました! 作成方法についてはClassmethodさんのブログに詳しく乗ってますので参考にしてください。 JavaScriptからUser Poolsの認証機能を使う時の注意点として、以下のAppsの作成でGenerate client secretのチェックを外してください。Java
あのmiyagawaさんがjoinし、PerlをサポートするようになったPaaSとして大注目のdotcloudのinvite codeをいただいたので、早速遊んでみました。 http://now.kentarok.org/ ソース: https://github.com/kentaro/now.kentarok.org まあ普通の一行掲示板みたいなものなので特になにもいうことはないのですが、一応メモ。Perlでdotcloudの導入の一般的な話については、以下のエントリを参照ください。 dotCloud でPSGI Hello World - D-6 [相変わらず根無し] 前提 言語: Perl フレームワーク: Dancer ストレージ: Redis(PerlバインディングはRedis) Dancerのconfig use Dancer ':syntax'; config->{foo}{
基礎 j001 JAVAプログラムの作成と実行 j002 JAVAのインストール j101 画面への出力 j111 変数と型 j112a 演算(整数演算) j112b 演算(実数演算) j113 文字コード j121a 文字列(宣言) j121b 文字列(比較) j121c 文字列(探索) j131a 配列(1次元配列、宣言と確保、代入) j131b 配列(1次元配列、列挙による宣言と代入) j132a 配列(2次元配列、宣言) j132b 配列(2次元配列、宣言) j141a 分岐(if文) j141b 分岐(if文の繰り返し) j142 分岐(switch文) j151a 制御構造(for文) j151b 制御構造(for文、continue文、break文) j151c 制御構造(for文、ラベル付きcontinue文、ラベル付きbreak文) j152a 制御構造(while文)
CodeZine:軽量なMVCフレームワークの自作(改訂版)
はじめに Webアプリケーションを構築する際のアーキテクチャとして、「MVC」が広く用いられています。PHPにおいても、「mojavi」や「Phrame」など、いくつかのフレームワークが実装されています。ググってみると、日本語の解説ページなどを見つけることもできます。 最も有名なMVCフレームワークは、Javaで使える「Struts」でしょう。多くのMVCフレームワークがStrutsの影響を受けています。Strutsは非常に強力なフレームワークですが、その分、お手軽感に欠けるきらいがあります。特に、お手軽感を求めてPHPを使われている諸氏には、馴染みにくいのではないかと思います。 本稿では、手軽に使える、軽量なMVCフレームワークの雛型として、拙作の「nagaMVC」を紹介します。nagaMVCの基本的な構成について解説します。 対象読者 主に、LAMP構成(Linux+Apac
WebAPIの公開 APIとは、何らかの機能を提供するプログラムのことです。WebAPIとは、Webで提供されたAPIということです。たとえば、地図データを提供するAPIや商品の検索結果を提供するAPIが有名です。なるべく多くの人にアクセスしてほしい情報を持っている企業は、WebAPIとして情報を提供することが多くなりました。WebAPIという便利なインターフェースを用意することで多くのユーザにアクセスしてもらい、広告ビジネス等につなげていくのが狙いです。 またWebAPIは、多くの形式に対応していたほうが、多くのユーザに利用してもらうことができるため、なるべく多くの出力形式に対応しようとする傾向があります。以前はSOAPという形式が多く使われていましたが、実装方法が煩雑であったため、現在ではREST、JSON、JSONPのように実装がシンプルな形式のものが多く使われています。 WebAP
HTTP cookie - Wikipedia
HTTP cookie(エイチティーティーピークッキー)は、マジッククッキーの一種。単にクッキー(cookie)とも表記される。 RFC 6265などで定義されたHTTPにおけるウェブサーバとウェブブラウザ間で状態を管理する通信プロトコル、またそこで用いられるウェブブラウザに保存された情報のことを指す。ユーザ識別やセッション管理を実現する目的などに利用される。 HTTPは元来ハイパーテキストにおいて単にファイル転送を行うために開発されたため、同じURLへのアクセスならその状況によらず同一の情報源[1]を提供することが前提となっている。動的なコンテンツ生成の仕組みとしてフォームが導入されているが、これは要求に直接対応する応答だけに影響をおよぼす。言い換えるとHTTPでは、同じ瞬間に同じ内容の要求を行っていれば、そのクライアントが以前にどのような通信を行っていても区別されない。HTTPはその意
はじめに 現在進行形でC#のみを使って個人でソシャゲ作りを試しているyoship1639です。 本記事はQiita夏祭り2020「〇〇(言語)のみを使って、今△△(アプリ)を作るとしたら」のテーマに沿った内容となっています。 近年のソーシャルゲーム界隈は多様化が進んでクライアントサイドだけではなくサーバーサイドもあらゆる言語やフレームワークが試みられていますが、クライアントもサーバーも統一の言語で構成されているのはほとんどないかと思われます。言語にはその言語の得意分野があると思うので。 しかし、今まさに私が開発中の環境が好きな言語で開発しやすいという理由でクライアントもサーバーもC#で構成した作りになっているので、どのような構成でどうすれば最低限のソシャゲの基盤が作れるかを、解説が長くなり過ぎないようにまとめることが出来ればと思います。 三部構成で、クライアント実装、サーバー実装、AWS
Operaは拡張機能(アドオン)を入れなくても、最初からさまざまな機能を利用することができる。わざわざ解説することも無いOperaの標準機能とは。 【この記事は、2007年8月1日付で米ブログメディア「Lifehacker」に掲載された記事を、「ITmedia Biz.ID」が翻訳したもののOpera版です】 10位:フィッシング対策 フィッシング攻撃の発見となると、大方の人はかなり詳しくなっているものだが、われわれ(もしくはあまりフィッシングを意識していない家族たち)が個人情報を盗むよう設計されたサイトに行ってしまうような場合は、Operaに組み込まれているフィッシング対策機能が阻止してくれる。 この機能を有効にするには、アドレスバーの「?」ボタンを押し、「フィッシング防止機能を有効にする」のチェックボックスをオンにする。だがこれだと過剰防衛なので、それなりの知識があるならば、普段はオフ
人間とウェブの未来(旧) 「ウェブの歴史は人類の歴史の繰り返し」という観点から色々勉強しています。2014年までの人間とウェブの未来の旧ブログです。 P2PやNAT Traversal、その周辺要素や、実はそれらに多く絡んでいるXMPPの勉強がてら、色々読んでいてもいまいちイメージがつかめないということで、とりあえずXMPPの拡張仕様であるjingleの仕組みを使って、互いにNAT配下のサーバでも簡単にP2Pでファイル同期できるツールを作ってみました。現状はFedoraやCentOSの64bitのLinuxでのみ動作確認しています。 synciga(しんきーが)という名前で呼ぶことにします。 syncigaにできる事 syncigaによってできることは、サーバマシンやクライアントがNAT配下に位置していても、そのマシン上でsyncigaを立ち上げておけば、別の場所にいるNAT配下のマシンか
Webアプリケーションの送受信データ内容のチェックやデータ送信先の確認、セッション管理機能のテストなどにおいては、HTTPのヘッダ情報やPOSTされるデータ内容を確認する必要に迫られる。 このようなテストを実行する場合には、通常、送受信データチェック専用のローカルプロキシサーバをセットするなどの方法を使用するが、これはなかなか煩雑である。Mozilla/Mozilla Firefoxを使用できるのであれば、LiveHTTPHeadersというアドインツールを使用することで煩雑な手順を経ずとも、ブラウザが実行したデータ送受信におけるヘッダ情報や送信データを非常に簡単に確認することができる。 LiveHTTPHeadersはxpi形式で配布されており、次のサイトからダウンロード、もしくはインストールすることができる。 使い方は簡単だ。メニューバーの「ツール」から Web 開発を選択し「Live
はじめに この連載では、今日のウェブ業界の流行語となっている「HTML5」をとりあげ、全6回に分けて、これまでの技術とどのような違いがあるのか、具体的にサンプルのコードを示しながら解説していきます。 過去の連載も読む 第1回:HTML5が注目を浴びる理由とは? 第2回:HTML4から変化したHTML5のマークアップ 第3回:HTML5で再定義された要素と属性 第4回:HTML5で実現できるマルチメディア系機能 第5回:HTML5で進化したフォーム機能 オープン・ウェブ 本連載では、HTML5のマークアップについてウェブページという視点で解説してきました。しかしこの視点は、HTML5やそれに関連する新たなウェブテクノロジーが扱う範囲のごく一部でしかありません。本連載の最後となる今回は、HTML5を含む次世代のウェブテクノロジーが進む方向性について見ていきましょう。 本連載の第1回では、HTM
Dynamo: Amazonの高可用性Key-value Store.markdown Dynamo: Amazonの高可用性Key-value Store[和訳] 原題:Dynamo: Amazon’s Highly Available Key-value Store 原文: Amazon's Dynamo - All Things Distributed (PDF Version) This article is translated by @ono_matope. Please contact me if any problem. Giuseppe DeCandia, Deniz Hastorun, Madan Jampani, Gunavardhan Kakulapati, Avinash Lakshman, Alex Pilchin, Swaminathan Sivasubram
![Dynamo: Amazonの高可用性Key-value Store[和訳]](https://cdn-ak-scissors.b.st-hatena.com/image/square/1ef26f6cb4349557952890dbe3e567f7f98dc151/height=288;version=1;width=512/https%3A%2F%2Fgithub.githubassets.com%2Fassets%2Fgist-og-image-54fd7dc0713e.png)
OWASPアプリケーションセキュリティ検証標準
本資料は、OWASP の Application Security Verification Standard (ASVS:アプリケーションセキュリティ検証標準) 3.0.1 を翻訳したものです。 ASVS プロジェクトは、アプリケーションの設計、開発、脆弱性診断などにおいて必要となるセキュリティ要件の標準を確立することを目指して活動しています。ASVS v3.0.1 では、アーキテクチャ、認証、セッション管理、アクセス制御など、アプリケーションに必要とされるセキュリティ要件を総計19のカテゴリに分類してまとめています。 また、これらのセキュリティ要件は、必ずしもすべて満たすべきというわけではありません。例えば「入力値検証はサーバ側で実装されている(5.5)」のように、すべてのアプリケーションが満たすべきセキュリティ要件がある一方で、「セキュリティログに完全性を保証する機構が備わっており許
PHPによる携帯サイトの作り方を完全詳解した「PHP x 携帯サイト デベロッパーズバイブル」が発売になりました。 いままで携帯サイトの仕様についてかかれた本などはあったのですが、プログラム特化した決定版の本がなかったので、今回は実際に携帯サイトが簡単に作成できるような完全詳解本をということで執筆しました。 PHPに特化して各仕様を明らかにした上で、プログラムの実装方法をわかりやすく説明しています。 あえてPHPやApacheのインストールキャプチャなどをなくし、最初のページから最後のページまで携帯サイト開発一色の348ページ超のボリュームの大型サイズ本となっています。 こだわったところは初めての携帯開発の方でも理解しやすいように、1章読み進める毎に出来ることが増えるようなフローで説明しているところですね。 「PHP x 携帯サイト デベロッパーズバイブル」各章のフロー ↓Chapter.
前回に引き続き、Think IT上の連載「SQLインジェクション大全」の第4回:ケース別、攻撃の手口を読んで感じたことを書きたい。 まず、この記事は以下のような書き出しから始まっている。 本記事は、システムを防御するにはまず敵を知らなければならない、という意図の下に、攻撃手法を紹介する。 dfltweb1.onamae.com – このドメインはお名前.comで取得されています。 この趣旨に異論があるわけではないが、しかしこの表現は誤解を生みやすいものだと思う。 というのは、「敵」(攻撃方法)を知ったからと言って、防御の方法が導き出せる訳ではないからだ。例えば、開発者が「最近のSQLインジェクションの自動化攻撃にはT-SQLのDECLARE文が用いられる」という情報を得て独自に対策を考えた場合、DECLAREという単語をチェックしてエラーにしたり、単語を削除することを考えがちだと思う。現に
アップグレード - Redmineガイド
Home インストールガイド Redmineのインストール » メールの設定例 アップグレード Step 1 - 動作環境の確認 Step 2 - バックアップ Step 3 - アップグレードの実行 Option 1 - リリースバージョンのダウンロード SVNチェックアウトのアップグレード Step 4 - データベースの更新 Step 5 - クリーンナップ よくある問題 リポジトリ管理に関するエラー secret_token.rb の生成 関連情報 Redmineのバックアップとリストア 他システムからの移行 システム管理者向けガイド プロジェクトに対する管理操作 ユーザに対する管理操作 グループに対する管理操作 ロールと権限 課題管理システム カスタムフィールド 選択肢の値 アプリケーションの設定 システム管理者向けガイド — 高度な設定 リポジトリ メールによるチケット登録 リ
本書は、Node.jsを使っての簡単なWebサーバの構築にはじまり、Webアプリケーションやコマンドラインアプリケーションの構築、そして自作Nodeモジュールの開発までをスムーズに学習できるように構成しています。MySQLやMongoDB、CouchDB、Redisといった各種データベースとのインタフェイスや、WebSocketの組み込み方、SMTPなどのプロトコルとのインタフェイスといった基本的な事項を学びます。さらにデータストリームの処理方法やセキュリティを考慮した実装、そして開発したアプリケーションを本番環境で動作させるまでのさまざまなレシピを掲載しています。 Nodeの主要なコアモジュールはもちろん、さまざまなシーンで利用するサードパーティモジュールを広く紹介しており、Express 3に対応した本書は、Nodeを深く知りたいエンジニア必携の一冊です。 翻訳者によるサポートページ
「体系的に学ぶ 安全なWebアプリケーションの作り方」3月1日発売です - ockeghem's blog
去年の5月末に「本を書く」という宣言をしてから8ヶ月以上掛かってしまいましたが、ようやく体系的に学ぶ 安全なWebアプリケーションの作り方が脱稿し、3月1日に発売される運びとなりました。 現時点で一番詳しい本の目次は、出版元のオフィシャルページにありますが、このブログでもおいおい詳しい内容を紹介したいと思います。また別途サポートページを立ち上げる予定です。 本書の目次は以下の通りです。 1章 Webアプリケーションの脆弱性とは 2章 実習環境のセットアップ 3章 Webセキュリティの基礎 〜HTTP、セッション管理、同一生成元ポリシー 4章 Webアプリケーションの機能別に見るセキュリティバグ 5章 代表的なセキュリティ機能 6章 文字コードとセキュリティ 7章 携帯電話向けWebアプリケーションの脆弱性対策 8章 Webサイトの安全性を高めるために 9章 安全なWebアプリケーションのた
■ 「ガラパゴス携帯のパラダイス鎖国」をWebの技術面から見る ワンクリック不当請求が問題となり携帯電話事業者各社が「お知らせ」を発表した2004年夏、8月29日の日記で総務省の「次世代移動体通信システム上のビジネスモデルに関する研究会」について少し触れた。実はもっと詳しく書くべき興味深い内容があったのだが、あまり言うのもいやらしい(せっかく解決に向けて動いて頂いているようなのに)という事情が当時はあったため、その後何もしていなかった。いまさらではあるが、これについて書き留めておく。 2000年に旧郵政省が「次世代移動体通信システム上のビジネスモデルに関する研究会」を開催していた*1。2001年に総務省情報通信政策局が報告書を公表している。 第1回 議事要旨, 郵政省, 2000年7月 第2回 議事要旨, 郵政省, 2000年9月 第3回 議事要旨, 郵政省, 2000年12月 第4回 議
この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方) 出典検索?: "Webアプリケーションフレームワーク" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL(2021年6月) Web アプリケーションフレームワーク(英: Web Application Framework)は、動的なWebサイト、Webアプリケーション、Webサービスの開発をサポートするために設計されたフレームワークである。 Webアプリケーションフレームワークの目的は、Web開発で用いられる共通した作業に伴う労力の軽減である。 たとえば、多数のフレームワークがデータベースへのアクセスのためのライブラリやテンプレートエンジン(Webテンプレー
普段仕事でRails を使っている身ですが、Rails 2.x 系を使っているものが1つもない。結構前からRails 3 の話題がでてきている今、そろそろRails 2.x をまともに使っておきたいと思ったので、まずはREST について調べました。最初にREST について調べたのは、REST がRails 2.x (実際には1.2.x から)で導入された最も大きな概念だからです。 REST とは REST とはアーキテクチャスタイルである アーキテクチャスタイルとはデザインパターンのようなもので、システムを設計する上での方針をまとめたものである。 REST は「REpresentational State Transfer」の略である 直訳すると、「(リソースの)表現可能な状態の転送」。あるリソースの状態を表現したものがサーバからクライアントに転送されるのがREST。ここにでてきた「リソー
(Last Updated On: 2018年8月13日)追記:より新しい情報については間違いだらけのHTTPセッション管理とその対策をどうぞ。 PHPには広く知られているにも関わらず放置されている既知のセキュリティ脆弱性が幾つかあります。その一つがセッションモジュールのセッションアダプション(Session Adoption)脆弱性です。この脆弱性は現在広く利用されているWebアプリケーションの安全性に、非常に大きな影響を与える脆弱性です。 セッションアダプション脆弱性とはセッション固定化攻撃を可能とする脆弱性の一種です。セッションアダプションに脆弱なセッション管理システムは、ユーザ(ブラウザ)が送信してきた未初期化のセッションIDを受け入れ、セッションを初期化してしまいます。PHPに限らず、RailsやJavaのフレームワーク等、多くのWebフレームワークに発見されている脆弱性です。
SPA に移行しづらいシステムたちレンダリングの移り変わりCSR を有効活用しづらい事業領域App Directory によって Next.js は他と対等な選択肢になりうるServer Component がデフォルトの世界React のエコシステムの恩恵を受けられるようになるどういうアーキテクチャになるか1. モノリスから Frontend サーバを分離する2. 元々あった Frontend サーバーをリプレイスする3. SPA + BFF を1つの Next.js サーバーにするまとめこんにちは、@p1assです。 最近、Next.js 13 から beta で導入されている App Directory を趣味で触っているのですが、今まで SPA を採用しづらかった事業領域でも React のエコシステムを使えるようになりそうな予感がして、ワクワクしています。 このブログでは、今まで
Tree Style Tab ツリー型タブ Ver.4.0.8 for Mozilla Firefox An English version of this page is also available. 注意:このページは旧バージョンの情報を保持するための歴史的ドキュメントとして残されています。最新の情報はMozilla Add-onsの配布ページおよびGitHubリポジトリ上のREADMEを参照して下さい。 セキュリティに関する重要なお知らせ:TST 3.0.14よりも以前のTST 2.xおよびTST 3.xのすべてのバージョンにおいて、他のアドオン向けのAPIを介した情報漏洩の問題がありました(WebExtensions APIでそれらの情報にアクセスするために必要な権限を持たない信頼できないアドオンに対してまで、TSTのAPI経由でプライバシーに関わるタブの情報やプライベートウィン
Udemy で講座の販売を開始しました! Udemy で「プログラミング学習の心得&HTTPの基礎」の動画講座を公開しました。 特別に 85% OFFのクーポンを発行します。 通常価格 10,800 円が 1,800 円で購入できます。 動画内でも説明していますが、初心者・初学者向けの内容です。 事前に自分の知りたい内容・興味のある内容か確認してからご購入ください。 挫折した人が教える PHP プログラミングシリーズ Vol.1『学習の歩き方』 はじめに PHPでメールフォームや掲示板などWebアプリケーションを作りたいと考えている方は、Cookieとセッションについて必ず理解しておく必要があります。 Cookieとセッションは、ユーザーを識別するために欠かせない技術で、非常に重要な役割をしております。 ここを理解すれば、作りたいWebアプリケーションに一歩前進しますので、Cookieとセ
1 安全なWebアプリ開発の鉄則2005 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ Internet Week 2005 チュートリアル 2005年12月8日 配布資料 2 目次 • Webアプリの基本的な構成 – セッションIDによるセッション追跡 – セッションIDの配置 • セッション追跡に対する攻撃と防御 – セッションハイジャック – セッションライディング(CSRF:クロス サイトリクエストフォージェリ) – セッション固定化 • セッション追跡方式の欠陥 – 推測可能なセッション追跡パラメタ – 予測可能なセッションID – 稚拙な暗号の使用 • 権限確認の欠陥 – アクセス制御の欠如 – ユーザ識別の欠如 • 画面設計の問題 • 万が一に備えた適切な実装 •
Cache::Memcached(::Fast)を使う上でベストプラクティスをまとめたモジュールを書いてみた。名前は、Cache::Memcached::IronPlate。おのみち焼き。 githubにあります。ドキュメントが日本語だけです: https://github.com/kazeburo/Cache-Memcached-IronPlate つかいかた use Cache::Memcached::IronPlate; use Cache::Memcached::Fast; my $memd = Cache::Memcached::IronPlate->new( cache => Cache::Memcached::Fast->new(...). ); $memd->get $memd->get_multi $memd->set $memd->add $memd->replace
いまさら聞けないRESTの基礎知識、JAX-RSを使ったREST APIの作り方と使い方:3つのフレームワークで学ぶエンタープライズJava開発入門(3)(1/3 ページ) 新規のエンタープライズJava開発において現在有力視される3つのフレームの違いについて解説する連載。前回から複数回に分けて、MVCのViewとControllerにフォーカスして各要素を紹介しています。今回はJava EEのJAX-RSについて。JAX-RSの基本的な設計方針であるRESTについて解説し、Struts 1、JSFとの違いやJAX-RSの使いどころを紹介します。 新規のエンタープライズJava開発において現在有力視される3つのフレームワーク、Java EE、Spring Framework、Play Framework。本連載「3つのフレームワークで学ぶエンタープライズJava開発入門」では、3つの違いに
◆ [Rails] 「Ruby on Rails 携帯サイト開発技法」第9章のサンプルコードに含まれる脆弱性について .tright small.(2010/6/25公開)^J2010/6/27: 「追記1」記載、微修正^J2010/6/28: 脚注*5 修正 まとめ ソフトバンククリエイティブ社から発行されている「Ruby on Rails 携帯サイト開発技法」の第9章に掲載されているサンプルコード(ファイル4/4)にはセッションIDの発行・管理に不備があるため、セッションハイジャックが可能です。 解説 この本の第9章には「携帯端末特化型セッション管理」と称していわゆる「かんたんログイン」の実装サンプルが掲載されています。第9章の冒頭部分から、その特長に関する記述を抜粋すると、 Cookieの代わりにリクエストヘッダからの情報を使ってセッション管理を行うという、携帯サイトならではのセッシ
Cookie Set-CookieはHTTPのレスポンスヘッダーで、サーバーからユーザーエージェントへクッキーを送信するために使われる。 また、ユーザーエージェントはサーバーに送り返すことができる。 そのため、HTTP サーバーが HTTP ユーザーエージェントに状態を保存するために使用することができる。 Cookieの利用目的 セッション管理 ログイン状態や買い物時のカートの状態など パーソナライズ トラッキング Set-CookieとCookieヘッダ HTTP の Set-Cookie レスポンスヘッダーは、サーバーがユーザーエージェントへ Cookie を送信するために使用します。 HTTP/2.0 200 OK Content-Type: text/html Set-Cookie: yummy_cookie=choco Set-Cookie: tasty_cookie=straw
誤解を招く記事 – LAMPセキュリティを強化する4つの方法
(Last Updated On: 2014年12月5日)LAMPセキュリティを強化する4つの方法 http://enterprisezine.jp/article/detail/311 書いてある情報は有用な事も記載されていますが、偏狭な視点からの記述により誤解を招く記事になっていると考えられます。著者はセキュリティの専門家ではないようなので仕方ないかも知れませんが、間違った認識は有害です。 # 原本は読んでいません。もしかすると日本語訳にも問題があるのかも知れません。 実行できる最も重要な対策は、PHPを使わないことです。腐った果物を導入する前に、以下に目を通してください。 後にPerl/Ruby/Pythonの方がかなり安全である旨の記述があります。メモリ管理が必要ない同じスクリプティング言語のレベルで「Perl/Ruby/Pythonを使えばセキュアなアプリケーションができる」と考
こんにちは。谷口です。 paizaラーニングに新規講座「Web技術入門編01 :URIとHTTPを知ろう」が追加されました! 「Web技術入門編」では、WebサービスやWebアプリケーションの基本となるインターネットの仕組みなどが学べます。 今回は「Web技術入門編01 :URIとHTTPを知ろう」の講座内容をご紹介します。 プログラミングは少しできるようになったけど、Webの仕組みについてはよく知らない これからWebエンジニアを目指したい! という方におすすめです。 「Web技術入門編」とは サービスやシステムのユーザーであれば、それほど仕組みを理解していなくても利用することはできます。ただ、Webエンジニアを目指すなら、仕組みを理解していないとサービスを一から作ったり、性能を改善したり、障害に対応したりすることはできません。 この講座の目的は、WebサービスやWebアプリケーションの
社内ではIPメッセンジャーのような簡易的なメッセージングツールが使われることがあるが、人数が増えてくると使い勝手が悪くなる。また、最近では外部の人たちとIM(インスタントメッセンジャー)を使って会話する機会が多くなっているので、社内と社外でツールを切り替えるのが面倒だ。 ブラウザから簡単に管理できるXMPP(Jabber)サーバ そこで社内でもIMを活用しよう。内部の会話を外部サーバを使うのはちょっと怖い、そこで社内でサーバを立ててしまうのだ。 今回紹介するオープンソース・ソフトウェアはOpenfire、Windows/Mac OSX/Linuxで動作するJabberサーバだ。 Openfireのインストールは簡単だ。Mac OSXであれば環境設定パネルとしてインストールされ、そこから起動/停止ができる。インストールとブラウザを使ったウィザード形式で簡単にできる。 Mac OSX向けの環境
ritou です。 Developers Summit 2023にてパスキーについて講演させていただきました。 資料も公開しました。難しい話ではないです。 同じ時間帯の他の講演者の方々が豪華なのでワンチャン誰も聞いていなかった説がありますが、それもいいでしょう。とりあえず無事に終わりましたというところで、発表内容全部書き出してみたをやってみます。 講演内容 (省略) 今回の内容です。コンシューマ向けサービスにおけるこれまでの認証方式を振り返り、最近話題のパスキーとはどういうものかを紹介します。そして、実際に導入を検討する際に考えるべきポイントをいくつか紹介できればと思います。 早速、これまでのユーザー認証について振り返りましょう。 最初はパスワード認証です。知識要素を利用する認証方式であり、ユーザーとサービスがパスワードを共有します。 このパスワード認証を安全に利用するために、ユーザーとサ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SPAサイトのCSRF対策 - 親バカエンジニアのナレッジ帳
クロスサイトスクリプティングの仕組みと攻撃を回避する7つの対策
sinatraとActiveRecordとERBでBBS作ったのでソースを公開してみる - 新だるろぐ跡地
■ - hoshikuzu | star_dust の書斎
セルフサービスBIを支えるBIシステムについて - techtekt
Spring Security にできること・できないこと - Qiita
dotcloudで遊んでみた - Kentaro Kuribayashi's blog
Java プログラミング入門
第6回 WebAPI、認証APIのセキュリティ | gihyo.jp
C#のみを使って、今ソーシャルゲームアプリを作るとしたら - Qiita
アドオン要らずのOpera便利機能トップ10+2 - 新しいTERRAZINE
互いにNAT配下のマシンでも簡単にP2P通信でファイル同期できるツールsyncigaを作ってみた
@IT:Security Tips LiveHTTPHeadersでHTTPヘッ...
HTML5はこれからどうなっていくのか ここが違う!サンプルで見るHTML5(6)
Dynamo: Amazonの高可用性Key-value Store[和訳]
「PHP x 携帯サイト デベロッパーズバイブル」が発売になりました
SQLインジェクション攻撃はDB上の任意データを盗み出す - ockeghem's blog
O'Reilly Japan - Nodeクックブック
高木浩光@自宅の日記 - 「ガラパゴス携帯のパラダイス鎖国」をWebの技術面から見る
Webアプリケーションフレームワーク - Wikipedia
REST について調べたまとめ - LukeSilvia’s diary
PHP:既知のセキュリティ脆弱性 – Session Adoption
バックエンドエンジニアがNext.jsのApp Directoryに夢を見る - ぷらすのブログ
XUL Apps > Tree Style Tab - outsider reflex
【PHP超入門】Cookieとセッションについて - Qiita
高木浩光氏による「安全なWebアプリ開発の鉄則2005」(pdf)
Cache::Memcached::鉄板(てっぱん) - blog.nomadscafe.jp
いまさら聞けないRESTの基礎知識、JAX-RSを使ったREST APIの作り方と使い方
Hideki SAKAMOTO の雑記 (2010-06-23)
CookieとWeb Storageの仕様を比較する
プログラミング初心者でもWeb技術の基本を学べる入門講座が新登場 - paiza times
各種プラットフォーム対応のXMPPサーバ·Openfire MOONGIFT
Developers Summit 2023にてパスキーについて講演しました