並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 474件

新着順 人気順

Cookieの検索結果1 - 40 件 / 474件

Cookieに関するエントリは474件あります。 securityセキュリティweb などが関連タグです。 人気エントリには 『フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita』などがあります。
  • フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita

    ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April

      フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
    • 牧歌的 Cookie の終焉 | blog.jxck.io

      Intro Cookie は、ブラウザに一度保存すれば、次からその値を自動的に送ってくるという、非常に都合の良い仕様から始まった。 State Less が基本だった Web にセッションの概念をもたらし、今ではこれが無ければ実現できないユースケースの方が多い。 冷静に考えればふざけてるとして思えないヘッダ名からもわかるように、当初はこのヘッダがこんなに重宝され、 Web のあり方を変えるかもしれないくらい重要な議論を巻き起こすことになるとは、最初の実装者も思ってなかっただろう。 そんな Cookie が今どう使われ、 3rd Party Cookie (3rdPC) の何が問題になっているのかを踏まえ、これからどうなっていくのかについて考える。 Cookie のユースケース Web にある API の中でも Cookie はいくつかの点で特異な挙動をする 一度保存すれば、次から自動で送る

        牧歌的 Cookie の終焉 | blog.jxck.io
      • 改正電気通信事業法が施行だけど、またしても何も知らなかったWebサイトやアプリ運用者のために書いておくぜ - フジイユウジ::ドットネット

        2023年6月16日 から改正電気通信事業法が施行なんですけど知ってました? これ、収益目的なら企業運営でも個人運営でもほとんどのWebサービス・スマホアプリが対象という、めちゃめちゃ広範囲にみんなが対応が必要なやつなんですけど、ヤバくない? 何もしてなくない? やっべえなというWEBサイト担当者/アプリ開発者が結構いそうな雰囲気がいんたーねっつから漂ってまいりました。 企業のオウンドメディアや、個人運営のアフィリエイト目的サイトなんかも対象になる場合があって、メディア系サイトはもちろんアプリ開発者にも影響ある感じですので、やるべき内容をブログにしたためておきます。 ※ぼくは法律の専門家ではないので、ちゃんと総務省の公式ドキュメントなどにも当たってくださいね。 ググると「外部送信規律」とか「電気通信事業者又は第三号事業を営む者」とか専門用語の記事ばっかり出てきて自分が何をしたらいいのかの情

          改正電気通信事業法が施行だけど、またしても何も知らなかったWebサイトやアプリ運用者のために書いておくぜ - フジイユウジ::ドットネット
        • HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社

          概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 追記(2021/10/18) Local Storageについては徳丸先生の以下の資料もおすすめです。Local Storageは使い方次第という観点で解説しています。 PHPカンファレンス2021の資料です / “SPAセキュリティ入門~PHP Conference Japan 2021” https://t.co/7B7exX2kWB — 徳丸 浩 (@ockeghem) October 3, 2021 追記(2022/08/23) 以下の徳丸先生のツイートからリンクされている記事も

            HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社
          • クックパッドの凋落、利用者1千万人減で赤字転落…人気のクラシルと真逆の方向

            「クックパッド HP」より 料理検索サイトの大手「クックパッド」が今、苦境に立たされている。ユーザー数の多いサービスという印象が強いクックパッドだが、今年の2月7日に発表した2019年12月期の連結決算では、なんと9億6800万円の最終赤字を計上している。最終利益4億700万円という前年の黒字決算から、上場以来初の赤字決算となってしまった。 また、月間の利用者数平均も、2016年に比べると約1000万人近く減少してしまっているようだ。今回は、こうしたクックパッド低迷の原因を、ITビジネスや最新テクノロジーに関する本を多数手がけてきた編集者の久保田大海氏に聞いた。 革新的“だった”クックパッドのシステム レシピ検索の老舗であるクックパッド。創業当初はまさに画期的なシステムを誇っていたと久保田氏は解説する。 「1998年から始まったクックパッドは、インターネット黎明期に登場した革新的サイトだっ

              クックパッドの凋落、利用者1千万人減で赤字転落…人気のクラシルと真逆の方向
            • Google、脱「クッキー」加速 4月から広告主と試験運用 - 日本経済新聞

              【シリコンバレー=奥平和行】米グーグルがインターネットの閲覧履歴などを保存する「クッキー」の利用制限に向けた取り組みを加速する。広告主と協力し、代替技術の試験的な運用を4月に始める方針だ。消費者のプライバシーに対する意識が高まるなか、ネット広告の効率維持との両立を目指す。プライバシーなどを担当するグループプロダクトマネジャーのチェトナ・ビンドラ氏が25日、ブログを通じて代替技術の開発状況につい

                Google、脱「クッキー」加速 4月から広告主と試験運用 - 日本経済新聞
              • 最新のブラウザで変わるCookieの取り扱いやPrivacyの考え方

                Google I/O 2023 の 個人的おすすめセッションの紹介 / Introducing interesting sessions at Google IO 2023

                  最新のブラウザで変わるCookieの取り扱いやPrivacyの考え方
                • X(Twitter)にバッキバキに打ちのめされて始まった2023年が終わりそうなので今年をいろいろ総括する話|Togetter(トゥギャッター )

                  みなさん、こんにちは。Togetterを運営するトゥギャッター社の代表のyositosiです。2023年も年末で仕事納めということで、今年を振り返るコンテンツを残しておこうと思います。主にXとネットメディアを取り巻く話題を中心にお届けします。 1月:サードパーティー製Twitterクライアントの一斉締め出しTwitterが他のSNSに比べて、圧倒的に優れていた点に、機能の大部分をAPIという形で解放して、多くの開発者が優れた関連アプリを作れたことにあると思います。特に、その初期においては、ガラケーやスマホ向けのアプリはTwitterオリジナルではなく、第三者が作ったアプリで支えられていました。 その後、公式のアプリとして買収されたものもありましたが、引き続き多くの非公式アプリが、ユーザのTwitter体験をそれぞれに最適化していたのは間違いないと思います。 とはいえ、本体の機能追加とともに

                    X(Twitter)にバッキバキに打ちのめされて始まった2023年が終わりそうなので今年をいろいろ総括する話|Togetter(トゥギャッター )
                  • Public Suffix List の用途と今起こっている問題について | blog.jxck.io

                    Intro Public Suffix List (PSL) は、現在の Web プラットフォームの一端を支えている非常に重要な要素だ。 実はこれが、少数のボランティアにより GitHub でメンテナンスされた、単なるテキストリストであることは、あまり知られていないかもしれない。 最近、このリストへの追加リクエストがあとを絶たず、問題になっている。 そもそも PSL とは何であり、今どのような問題が起こっているのかについて解説する。 Public Suffix List とは何か PSL を解説するには、まず関連する用語について整理する。 Top Level Domain (TLD) 例えば、このブログのドメインは blog.jxck.io であり、これは筆者が取得したドメイン jxck.io のサブドメインだ。 jxck.io は、 .io という TLD のサブドメインを販売しているレ

                      Public Suffix List の用途と今起こっている問題について | blog.jxck.io
                    • SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜 - Qiita

                      SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜JavaScriptRailsJWT認証React SPAのログイン周りについて、「これがベストプラクティスだ!」という情報があまり見当たらないので、様々な可能性を模索してみました。 いろいろな状況が想定され、今回記載する内容に考慮の漏れや不備などがありましたら是非コメントでご指摘いただきたいです!特に「おすすめ度:○」と記載しているものに対しての批判をどしどしお待ちしております! この記事でおすすめしているものであっても、ご自身の責任で十分な検討・検証の上で選択されてください。 前提 想定しているAPIは、 ログイン外のAPIにはPOST/PUT/DELETEのものがなく、GETのみ GETのAPIにはDBを更新するなどの操作がない とし、そのためログイン外では

                        SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜 - Qiita
                      • 「クッキー」情報収集、公取委規制へ スマホ位置情報も:朝日新聞デジタル

                        ウェブ上で利用者がどんなページを見たかを記録する「クッキー」について、公正取引委員会は、利用者の同意なく収集して利用すれば独占禁止法違反になる恐れがあるとして規制する方向で検討に入った。巨大IT企業などが集める個人情報に網をかける公取委の方針に対し、経団連は「多くの企業に影響が出かねず、経済の発展を阻害する」と猛反発している。 公取委は8月末、「プラットフォーマー」(PF)と呼ばれる巨大IT企業などが個人情報を利用者の同意なく収集すれば、独禁法が禁じる「優越的地位の乱用」とみなすなどとしたガイドライン案を公表。杉本和行委員長は、規制対象になる個人情報を「現在の個人情報保護法の規定よりも、幅広くとらえる必要がある」と話している。 氏名などは記録しないクッキーは、単独では個人を特定できないため現在は個人情報保護法の対象にはなっていない。しかし、ほかの情報と結びつければ個人を特定でき、利用者のウ

                          「クッキー」情報収集、公取委規制へ スマホ位置情報も:朝日新聞デジタル
                        • FLoCとはなにか - ぼちぼち日記

                          1. はじめに Google がChrome/89よりトライアルを開始しているFLoC (Federated Learning of Cohorts)技術に対して、現在多くの批判が集まっています。 批判の内容は様々な観点からのものが多いですが、以前より Privacy Sandbox に対して否定的な見解を示してきたEFFの批判「Google Is Testing Its Controversial New Ad Targeting Tech in Millions of Browsers. Here’s What We Know.」が一番まとまっているものだと思います。 これまで Privacy Sandbox 技術に関わってきた身としては、各種提案の中でFLoCは特にユーザへの注意が最も必要なものだと思っていました。しかし、これまでのド直球なGoogleの進め方によって、FLoCのトラ

                            FLoCとはなにか - ぼちぼち日記
                          • SPAセキュリティ入門~PHP Conference Japan 2021

                            シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 動画はこちら https://www.youtube.com/watch?v=pc57hw6haXk

                              SPAセキュリティ入門~PHP Conference Japan 2021
                            • CORSの仕様はなぜ複雑なのか

                              Webアプリケーションを実装していると高確率で CORS の問題にぶつかります。CORSがどのようなものかはリンクしたMDNなど既存の解説を読むのが手っ取り早いと思いますが、「なぜそのように設計されたのか」という観点での説明はあまり見ないため、昔の資料の記述や現在の仕様からの推測をもとに整理してみました。 CORSとは 現代のWebはドメイン名をもとにした オリジン (Origin) という概念 (RFC 6454) をもとに権限管理とアクセス制御を行っています。その基本となるのが以下のルールです。 Same-origin policy (同一生成元ポリシー): 同じオリジンに由来するリソースだけを制御できる。 上記Wikipedia記事によるとSOPの概念は1995年のNetscape 2.02に導入されたのが最初のようです。当時のドキュメンテーションを読む限り、これはウインドウ越しに別

                                CORSの仕様はなぜ複雑なのか
                              • SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ

                                SPA認証トークンをどこに保存するかは論争が絶えません。localStorageやCookieがよく使われますが、Auth0は違う方法を採用しています。この記事では、Auth0のトークン管理の方式を理解でき、トークン管理上のセキュリティへの理解を深めることができます。 SPAの認証トークンをどこに保存するか ブラウザでトークンを保存できる場所 保存場所の比較 メリット・デメリット Auth0のアプローチ トークンはインメモリに保存 OpenID Connect準拠とトークン取得のUI/UXの悪化回避を両立 Auth0のjsライブラリ ログイン アクセストークンの(再)取得 図解 ログイン アクセストークンの(再)取得 自サービス内の認証だけのもっと簡易な構成 ログイン IDトークン取得 まとめ SPAの認証トークンをどこに保存するか React やVueで認証付きSPA(Single Pa

                                  SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ
                                • TBSのニュースサイトヤバない?(追記)

                                  はてぶの上位にちょいちょい載ってるTBS系のニュースサイト、newsdig.tbs.co.jpについて。 https://b.hatena.ne.jp/site/newsdig.tbs.co.jp/ 何がヤバいかって、くっそ巨大なCookie(LocalStorageとかも含むのか知らんけど)をしこたま保存してんのよ。 気付いた時点では640MBも占有してた。別に巡回チェックしてるわけでもなく、話題に挙がってたら見てみることもある程度のアクセス頻度なのだが。 Chromeユーザーはアドレスバーに↓コピペして確認してみてくれ。 chrome://settings/content/all?searchSubpage=tbs.co.jp&search=cookie 試しにCookie消去してから、ただ開いただけでサイト上で何の遷移もしてないのに279MBも保存された。 次点ではpresi

                                    TBSのニュースサイトヤバない?(追記)
                                  • Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita

                                    Chrome 79以下や他ブラウザのデフォルト値。 Chrome 80からこの値を設定する場合、Secure属性も必須となる。 Aサイトに対し、Bサイトからどのようなリクエストがあっても、発行したサイトでCookieヘッダーに含める (Cookieを使用する) 図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないため

                                      Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita
                                    • クッキー缶のお取り寄せの楽しさに気づいた方のもとに集まった、かわいくて美味しいオススメお取り寄せ情報

                                      yuki @ametogumiii クッキー缶のお取り寄せ楽しすぎ。 皆さんのおすすめのお取り寄せあったら教えてほしいです!!!! (クッキーじゃなくても嬉しい) pic.twitter.com/zgiObYkQtv 2020-10-07 19:01:57

                                        クッキー缶のお取り寄せの楽しさに気づいた方のもとに集まった、かわいくて美味しいオススメお取り寄せ情報
                                      • なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ

                                        はじめに こんにちは。バックエンドエンジニアの小笠原です。 今回は、2022年2月18日から2022年3月4日にかけて発生していたこちらの障害に対し私達開発チームが実施した、session.cookieで定義しているCookieのkey名を変更するという影響範囲の大きい対応について、実施に至るまでの経緯や対応過程についてご紹介したいと思います。 ショップオーナー向けに掲載していたお知らせの内容 背景 全ては iOS14.5から端末識別子の取得に同意が必要になったことから始まった ことの発端は、iOS14.5以降からIDFA(端末ごとに持つ固有識別子)の取得に端末所有者の許可が必要になったことでした。 この変更は、端末所有者側から見ると情報の活用範囲を自身で管理できることでよりプライバシーに配慮されるようになった良い変更と言えるでしょう。 一方で、広告出稿側から見た場合は拒否をしたユーザーの

                                          なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ
                                        • みなさん!どうか!おすすめの!クッキー缶を教えてください!特になければ牛乳1パック消費できるレシピ教えてください

                                          たいやき🍢 @ADuNPpTYEIjuUX9 みなさん!!!どうか!!おすすめの!クッキー缶を教えてください!年末年始をなんとか生き延びるための己のガソリンとして複数購入したいと思っています!!!特にない方は、牛乳1パックを消費できる加熱系レシピを教えてください!(帰宅後リュックごと廊下に牛乳半日放置してしまった) 2023-12-10 20:10:44

                                            みなさん!どうか!おすすめの!クッキー缶を教えてください!特になければ牛乳1パック消費できるレシピ教えてください
                                          • 日本人の約9割が「Cookie」をよく知らない!? ……で、「Cookie」ってなんだっけ?/最近Webブラウザーベンダー各社が対策を試行錯誤している「Cookie」の問題について【やじうまの杜】

                                              日本人の約9割が「Cookie」をよく知らない!? ……で、「Cookie」ってなんだっけ?/最近Webブラウザーベンダー各社が対策を試行錯誤している「Cookie」の問題について【やじうまの杜】
                                            • 女性「『授乳 おやつ』で調べたらエロ漫画の広告が出る」←普段からエロサイトばっか見てるからだろ、cookie消せ!とツッコミ←それって本当ですか?? (エロ画像注意)

                                              • これからのフロントエンドセキュリティ

                                                Frontend Conference Fukuoka 2019

                                                  これからのフロントエンドセキュリティ
                                                • Preparing for the end of third-party cookies  |  Privacy Sandbox  |  Google for Developers

                                                  Preparing for the end of third-party cookies Stay organized with collections Save and categorize content based on your preferences. If your site uses third-party cookies, it's time to take action as we approach their deprecation. To facilitate testing, Chrome has restricted third-party cookies for 1% of users from January 4th, 2024. Chrome plans to ramp up third-party cookie restrictions to 100% o

                                                  • Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

                                                    おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか? Cookie vs JWT 認証に JWT を利用するのってどうなの? JWT をセッション管理に使うべきではない! リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の原点は最近 IDaaS(Identity as a Service) として注目を集めている Auth0 が Cookie vs Token とか言う比較記事を書いたことだと思っていますが、今探したところ記事は削除されたのか最近の記事にリダイレクトされてるようなのでもうよくわからん。 なのでそれはおいといて、この話題を扱う記事は クライアントでのセッション管理 : HTTP Cookie vs WebStorage(LocalStorage / Sess

                                                      Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife
                                                    • [独自記事]リクナビが提携サイトの閲覧履歴も取得していた事実が判明

                                                      就職情報サイト「リクナビ」を運営するリクルートキャリアは2019年8月6日、就職活動をしている学生のサイト閲覧履歴などを基に内定辞退の指標を顧客企業に提供していたサービスで、同社と提携するサイトの閲覧履歴も取得していたと日経xTECHの取材に明らかにした。提携サイトから「個人を特定できないcookie(クッキー)情報を取得していた」(社外広報グループ)と説明するが、同社はクッキーを「リクナビID」に突合していた。他社が運営するサイトの閲覧履歴を基にした個⼈情報を第三者提供していたことになる。 内定辞退の可能性を指標データとして顧客企業に提供していたのは「リクナビDMPフォロー」。同社のプライバシーポリシーは、学生であるユーザーがログインしてサービスを利用した場合、「個人を特定したうえで、ユーザーが本サービスに登録した個人情報、およびcookie(クッキー)を使用」して、同サービスのほかに同

                                                        [独自記事]リクナビが提携サイトの閲覧履歴も取得していた事実が判明
                                                      • ネット広告「クッキー離れ」広がる 10兆円市場変調も

                                                        日経の記事利用サービスについて 企業での記事共有や会議資料への転載・複製、注文印刷などをご希望の方は、リンク先をご覧ください。 詳しくはこちら ネット広告産業に変調の兆しが表れている。「クッキー」と呼ばれる閲覧履歴データを巡り、広告主企業の間で利用を見直す動きが広がっているためだ。クッキーは個人の趣味や嗜好を絞り込むターゲティング(狙う)広告に使われ、同広告の世界市場は2019年に初めて10兆円を超えたもよう。だが各国当局も規制に動いており、個人データ活用の巧拙やルール対応は企業のデジタル化競争に影響を及ぼしそうだ。 キリンホールディングス

                                                          ネット広告「クッキー離れ」広がる 10兆円市場変調も
                                                        • Cookieの新しい属性、SameParty属性について - ASnoKaze blog

                                                          ChromeでCookieのSameParty属性の開発が進められている (コミット)。 現在のところ「SameParty cookie attribute explainer」に説明が書かれている。 今回は、CookieのSameParty属性について簡単にメモしていく。 背景 トラッキング対策、プライバシーの観点でサードパーティクッキーは制限する方向に進んでいる。その制限をSame Partyの場合に緩和する仕組みを提供するのがSameParty属性の話である。 例えば、同一主体により運営されているドメインの異なるサイト (例えば、google.co.jp, google.co.uk) 間においては、いわゆる(cross-site contextsで送られる)サードパーティクッキーを許可しようという話です。 もともとは、First-Party Setsを活用しSameSite属性にFi

                                                            Cookieの新しい属性、SameParty属性について - ASnoKaze blog
                                                          • WebアプリケーションでJWTをセッションに使う際の保存先は(自分なりに説明できれば)どちらでもよいと思います - 日々量産

                                                            以下のツイートを読んで気持ちが昂ったので。 みんな、もうSNSでいがみ合うのはやめよう。 平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き?— 徳丸 浩 (@ockeghem) 2022年2月11日 というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。 ただ、考えるたびに変化しているので、変わるのかもしれない。 要約 タイトル。 あとは優秀な方々が既に色々考えておられるのでそちらを読むとよいでしょう。 SPAセキュリティ入門~PHP Conference Japan 2021 JWT カテゴリーの記事一覧 - r-weblife どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ? - co3k.org JWT形式を採用したChatWorkのアクセストークンについて -

                                                              WebアプリケーションでJWTをセッションに使う際の保存先は(自分なりに説明できれば)どちらでもよいと思います - 日々量産
                                                            • sessionとcookieが多分わかる資料

                                                              AWS Application Composerで始める、 サーバーレスなデータ基盤構築 / 20240406-jawsug-hokuriku-shinkansen

                                                                sessionとcookieが多分わかる資料
                                                              • Twitter、「亡くなった人のアカウントを保護する機能を追加するまで休眠アカウントは削除しない」とツイート

                                                                Twitterが、アクティブではないアカウントの所有者に対し、12月11日までにログインしないとアカウントを削除するという警告メールを送っていると、複数のメディアが26日に報じた。これでは故人のアカウントも削除されてしまうと、Twitter上で多数の抗議ツイートが投稿された。 現行のポリシーでは、亡くなった人のアカウントについて、関係者が削除を依頼することはできても保存はできないようになっている。 米Facebookには2009年から故人のアカウントを保護する方法がある。親族や友人が必要な情報を添えて申請し、条件を満たせばFacebookがアカウントを追悼アカウントに変更するというものだ。 Twitterの連投ツイート全文(翻訳)は以下の通り。 休眠アカウントを削除するわれわれの取り組みに対して皆さんからいただいたフィードバックを受け、状況を明確に説明したいと思います。この取り組みの影響を

                                                                  Twitter、「亡くなった人のアカウントを保護する機能を追加するまで休眠アカウントは削除しない」とツイート
                                                                • CSRF is (really) dead

                                                                  Scott Helme Security researcher, entrepreneur and international speaker who specialises in web technologies. More posts by Scott Helme. A little while back I wrote a blog post about how "CSRF is dead". It focused on SameSite cookies, a powerful yet simple feature to protect your website against CSRF attacks. As powerful as it was, and as much as it will kill CSRF, you had to enable it on your site

                                                                    CSRF is (really) dead
                                                                  • "JWT=ステートレス"から一歩踏み出すための考え方

                                                                    おはようございます、ritouです。 この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独自エンコード方式(一般的にフレームワークのCookieストアと呼ばれているもの)でも起こり得る 「セッションID vs JWTで内包」 以外にも 「セッションIDをJWTに内包」もあり得る。既存の機能を残しつつ「JWTで武装」する選択肢も考えてみてはどうか。 ステートレスなセッション管理でログアウトの際に文字列自体を無効化できない問題 これは前から言われていますし、駆け出し何とか勢のQiita記事に書かれるぐらいには一般的です。 2

                                                                      "JWT=ステートレス"から一歩踏み出すための考え方
                                                                    • 開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog

                                                                      はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っているエンジニアの多くの方が知っている脆弱性です。ですが、私はWebアプリケーションの脆弱性診断を行ってきた経験の中で多くのXSSを目にしてきましたし、依然として検出率の多い脆弱性の一つだと感じています。 その認知度や、一般的な対策方法のハードルの低さ(設計や仕様によっては対策工数が大きい場合もありますが)にも関わらずXSSの検出率が多いのは、直感的にリスクがわかりづらく、アラートをあげるだけの紹介が多いことが一つの要因ではないかと考えています。 すなわち、興味範囲が「どのよう

                                                                        開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog
                                                                      • 最近よく見る「Cookie使用同意バナー」、実は無意味? 専門家が指摘するちぐはぐ対応

                                                                        Webサイトを見ると、「Cookie(クッキー)」使用への同意を確認するバナーが出てきたことはないでしょうか? 少し、うざったくも見えるこのバナー。なぜ、最近こうした表示が増えてきたのでしょうか。専門家に聞きました。 Cookie使用の同意を求めるバナーの例(電通公式サイト) そもそも、「Cookie」とは何でしょうか。「Cookie」とは、閲覧したWebサイトのサーバーから発行され、ユーザーのコンピューターなどの中に預けておくファイルのことです。Cookieによって、ユーザーがWebサイトで入力した情報やサイト内のどこを閲覧しているのかといった情報などを、サイトの運営や広告配信業者などが取得することができます。 SNSなどへのログイン状態を維持したり、通販サイトで買い物かごに入れた商品がWebサイトをいったん離れても再表示されたりするのは、Cookieによるものです。一方、企業側もCoo

                                                                          最近よく見る「Cookie使用同意バナー」、実は無意味? 専門家が指摘するちぐはぐ対応
                                                                        • IIJ、6月16日施行の「Cookie規制」 を解説〜多くのサイトやアプリが対象になり、情報の公表などが義務に

                                                                            IIJ、6月16日施行の「Cookie規制」 を解説〜多くのサイトやアプリが対象になり、情報の公表などが義務に 
                                                                          • リクナビ 企業に学生へのアンケートを指南 識別情報を入手 | NHKニュース

                                                                            有力な就職情報サイト「リクナビ」の運営会社が、いわゆる学生の内定辞退率を企業に販売していた問題で、リクナビ側は、学生を個別に識別できる電子情報を入手するため、利用企業に対し、応募した学生にウェブ上の簡単なアンケートに答えてもらうよう指南していたことが新たに分かりました。 学生にアンケートの目的は十分説明されておらず、不適切なサービスの実態が一段と浮き彫りになりました。 関係者によりますと、リクナビ側は個別の学生ごとの閲覧記録を把握するのに必要な情報を得るため、サービスの利用企業に対して、学生がウェブ上で簡単に答えられるアンケートを実施するよう指南していたことが新たに分かりました。 このアンケートで得ようとしたのは、どのページを閲覧したか把握するために欠かせない「クッキー」と呼ばれる電子的な識別情報でしたが、その目的についてリクナビ側や利用企業から学生に対して十分な説明はなかったということで

                                                                              リクナビ 企業に学生へのアンケートを指南 識別情報を入手 | NHKニュース
                                                                            • DNS over TLS/HTTPSについて考える | IIJ Engineers Blog

                                                                              はじめに 昨年から DNS over TLS (DoT)、DNS over HTTPS (DoH) にまつわる動きが急速に活発になっています。 DoT は2016年に RFC7858 が出てしばらくは大きな動きはありませんでしたが、2017年11月にサービス開始した public DNS である Quad9 (9.9.9.9)、昨年4月開始の Cloudflare (1.1.1.1)が相次いで DoT に正式対応し、遅れて今年1月には Google Public DNS (8.8.8.8) も対応しました。クライアント側としては昨年8月リリースの Android 9 “Pie” が DoT に対応しています。 DoH は仕様の標準化より実装の方が先行しています。Cloudflare は DoT だけでなく DoH も昨年4月のサービス開始当初からサポートしています。Mozilla Fire

                                                                                DNS over TLS/HTTPSについて考える | IIJ Engineers Blog
                                                                              • ウェブサイトがJavaScriptとCookieなしで個人を追跡する方法が一発で理解できる「No-JavaScript fingerprinting」

                                                                                「フィンガープリント」とは、JavaScriptやCookieなしでウェブサイトのユーザーを識別するための固有識別子で、ユーザーの属性・行動・興味・関心といった詳細な情報をもとにマッチする広告を表示するターゲティング広告に用いられます。そんなフィンガープリントが、JavaScriptやCookieを使わずにどうやってユーザーを特定しているのかがよくわかるサイト「No-JavaScript fingerprinting」が公開されています。 No-JavaScript fingerprinting https://noscriptfingerprint.com/ 今回はGoogle ChromeからNo-JavaScript fingerprintingにアクセスしてみます。アクセスする前に、JavaScriptを使用しないようにあらかじめブラウザから設定しておきます。Chromeの右上にあ

                                                                                  ウェブサイトがJavaScriptとCookieなしで個人を追跡する方法が一発で理解できる「No-JavaScript fingerprinting」
                                                                                • Qiita はなぜここまで退会炎上したのか?|横江 as a なんとか

                                                                                  極めつけは、2019年12月に起きた、さくらインターネットへの不満の記事を Qiita 側で勝手に非公開にした一件だ。 「さくらインターネット側が公開停止要請をしたのでは?」と騒がれたが、Qiita が独自判断で非公開にしたとわかり、真摯に対応をしようとしていたさくらインターネットにまで迷惑をかけてしまう結果となった。 管理社会としての姿エンジニアは、コミュニティーのために情報共有をオープンにする姿勢でいる。 時間をかけて見つけた答えに、他者がすぐにたどり着けるようにできれば全体の生産性を上げられるゆえの貢献だ。 一方で、Qiita がユーザーに見せてしまった姿は、Qiita 独自の判断で情報統制がおこなわれるクローズドな管理社会だ。 この結果、エンジニアから Qiita への不信感は積もり続けたまま今日に至り、それがついに爆発してしまった。 今回の件は個人情報の取扱として問題があるが、仮

                                                                                    Qiita はなぜここまで退会炎上したのか?|横江 as a なんとか

                                                                                  新着記事