こんにちは。 もうすぐ9月も終わりということで、今月中に話題になったイケてるwebサービスやアプリをご紹介します。 Cookie Clicker(クッキー・クリッカー) 突如としてブームとなったブラウザゲームです。 遊び方は簡単で、画面左側に表示されているクッキーをクリックしてクッキーを獲得するゲーム。そのクッキーを貯めていき右側に並んでいるアイテムや設備を購入し、効率よくクッキーを増殖させるというゲーム。1秒間に得られるクッキーの枚数をいかに増やせるかなどがゲームのポイントです。 Nature Sounds 雨、ビーチ、川、鳥の鳴き声などが聞けるBGMサービスです。 音楽に合わせて、背景の映像が変わるのもステキ。作業がはかどりそう! ほしふる 流星群お知らせアプリです。 忘れてしまいがちな流星群がやってくる日を、3日前に通知して教えてくれます。 あらかじめ通知してくれるのは便利ですね。2
ChromeでCookieのSameParty属性の開発が進められている (コミット)。 現在のところ「SameParty cookie attribute explainer」に説明が書かれている。 今回は、CookieのSameParty属性について簡単にメモしていく。 背景 トラッキング対策、プライバシーの観点でサードパーティクッキーは制限する方向に進んでいる。その制限をSame Partyの場合に緩和する仕組みを提供するのがSameParty属性の話である。 例えば、同一主体により運営されているドメインの異なるサイト (例えば、google.co.jp, google.co.uk) 間においては、いわゆる(cross-site contextsで送られる)サードパーティクッキーを許可しようという話です。 もともとは、First-Party Setsを活用しSameSite属性にFi
ブラウザのプライベートモードを使えば、ブラウズ履歴が完全にプライベートになっていると思いますか? 実は言うとそうではないんです! どちらかと言うと、なんらかのブラウズの痕跡を残していることの方が多いくらいなのです。なので、今日は、何も痕跡を残さずにブラウズする完全なるプライベートブラウジング方法について解説します。 問題 ネット上で何を見たのか、という履歴は、ブラウザの履歴やその他のプライベートデータを消去しただけでは完全には消えません。キャッシュされたDNS lookupsやFlash cookiesなどはOSに保存され続けているのです。最初に明確にしておくと、全ての記録を常に完全に削除し続ける、というのは不可能です。なので、職場で見るべきでないサイトなどを見ている場合、PC上の履歴を削除しても、システム管理者などによって見つけられてしまう可能性はあります。自分のPCの場合、下記の方法で
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
WebアプリケーションでJWTをセッションに使う際の保存先は(自分なりに説明できれば)どちらでもよいと思います - 日々量産
以下のツイートを読んで気持ちが昂ったので。 みんな、もうSNSでいがみ合うのはやめよう。 平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き?— 徳丸 浩 (@ockeghem) 2022年2月11日 というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。 ただ、考えるたびに変化しているので、変わるのかもしれない。 要約 タイトル。 あとは優秀な方々が既に色々考えておられるのでそちらを読むとよいでしょう。 SPAセキュリティ入門~PHP Conference Japan 2021 JWT カテゴリーの記事一覧 - r-weblife どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ? - co3k.org JWT形式を採用したChatWorkのアクセストークンについて -
サードパーティCookieの歴史と現状 Part2 Webアプリケーションにおける利用とその問題 - 最速転職研究会
前回 http://d.hatena.ne.jp/mala/20111125/1322210819 の続きです。 前回のあらすじ ブラウザベンダーはサードパーティCookieをデフォルトでオフにしたかったんだけどお前らがサードパーティCookieに依存したサイト作るし使うからオフに出来なかったんだよ!!!!! といった事情を踏まえた上でWebアプリケーションにおけるサードパーティCookieの利用の歴史について書きます。前提知識の共有が済んだので、ここからはある程度個人的な意見も含まれます。実装面での技術的な内容も含みます。 サードパーティCookieが必要とされてきた歴史 広告のためのトラッキングCookie以外にも、サードパーティCookieに依存したサービスが数多く存在してきた。個人的に把握しているいくつかのサービスについて時系列で述べる。ついでに広告業界の流れについても重要なのを幾
■編集元:ニュース速報板より「【速報】 Googleにお前らの年齢、性別、趣味がバレバレ!!!!!!!!!」 1 名前:名無しさん@涙目です。(東京都) :2011/12/06(火) 13:02:40.71 ID:WTcNrbAA0 ?PLT(12000) https://www.google.com/settings/u/0/ads/preferences/?hl=ja#general 左メニューにある「ウェブ上の広告」をクリック ↓ Googleが推定したお前らの推定年齢と性別とカテゴリが出てくる ↓これの類似サービス http://www.j-cast.com/2011/12/01115025.html 米グーグルが提供するサービス「Think Insights」( https://www.google.com/adplanner/ )が「恐ろしい」と話題になっている
Stack Overflowに面白い質問があったので紹介する javascript - Why does Google prepend while(1); to their JSON responses? - Stack Overflow 質問 Googleのサービス内で使われるJSONの先頭に while(1); てついているのは何故? 例えばGoogle Calendarではカレンダーを切り替えるときに以下のような内容のデータがサーバから返される。 while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'],['remindOnRespondedEventsOnly','true'],['hideInvitations_remindOnRespondedEventsOnly','false_true'],['C
AWS Application Composerで始める、 サーバーレスなデータ基盤構築 / 20240406-jawsug-hokuriku-shinkansen
先日ペコリンという Web サービスを公開したのですが、これが初めての WordPress との複合会員向けサービスだったためか、ログインが途中で切れたり、記事投稿時のリダイレクトがかかるタイミングなどで SESSION が切れてしまうことがありました。 しかし Twit Delay では長期的にログインが保持されていたり、mixi とかではログイン時間を指定できたりするので、なんとかできるものだろうと考えていたら Twitter で教えてもらいましたのでまとめておきます。 SESSION だけを使ったログインの保持では長期ログインは不可 私は今までログインの保持は以下のようにしていました。 1 2 3 4 5 <?php ini_set('session.gc_maxlifetime', 60*60*24); ini_set('session.gc_divisor', 10000); s
Twitter、「亡くなった人のアカウントを保護する機能を追加するまで休眠アカウントは削除しない」とツイート
米Twitterは11月27日(現地時間)、亡くなった人のアカウントを追悼する方法を提供できるようになるまで、休眠アカウント削除は実施しないと約束した。前日の休眠アカウントが削除されるという報道に対し、大きな反響があったことを受けたもの。Twitter Supportアカウントによる連投ツイートで説明した。 Twitterが、アクティブではないアカウントの所有者に対し、12月11日までにログインしないとアカウントを削除するという警告メールを送っていると、複数のメディアが26日に報じた。これでは故人のアカウントも削除されてしまうと、Twitter上で多数の抗議ツイートが投稿された。 現行のポリシーでは、亡くなった人のアカウントについて、関係者が削除を依頼することはできても保存はできないようになっている。 米Facebookには2009年から故人のアカウントを保護する方法がある。親族や友人が必
セサミストリート: CBCC(Cookie-Butter-Choco-Cookie) クッキー・バター・チョコ・クッキー フルバージョン/ピコ太郎、エルモとクッキーモンスター - YouTube
\クッキー・バター・チョコ・クッキー🍪/ みんなで一緒に踊って歌おう! ★★セサミストリートの日本未公開シリーズ U-NEXTで独占配信中!★★ 子ども向け番組『セサミストリート』に加え、エルモやクッキーモンスターといった楽しい仲間たちが登場する新しい動画や絵本、歌など、YouTubeでは見ることができない日本未公開シリーズをU-NEXTで独占配信中。 視聴はこちらから:https://www.video.unext.jp/lp/sesames... ★チャンネル登録はこちら: www.youtube.com/SesameStreetJapan セサミストリーとの最新情報はこちらで! ★Facebook(フェイスブック):www.facebook.com/SesameStreetJapan ★Instagram (インスタグラム):www.instagram.com/sesames
bitly/oauth2_proxyを用いて,ウェブアプリケーションに手っ取り早くOAuth2認証を導入するという話です. oauth2_proxyは良い感じでOAuth2による認証を肩代わりしてくれる君で,何らかのリバースプロキシの認証機構と組み合わせて利用すると簡単にOAuth2ログインを実現することができます. 今回は例としてKibanaにGoogleのOAuth2ログインを導入してみたいと思います. 構成 Kibana bitly/oauth2_proxy nginx +------+ +-------+ +--------------+ +--------+ | | | | ----auth----> | | | | | user | --request--> | nginx | | oauth2_proxy | <--auth--> | Google | | | | | <--
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
JWT認証、便利やん? - ブログ
どうして JWT をセッションに使っちゃうわけ? - co3k.org に対して思うことを書く。 (ステートレスな) JWT をセッションに使うことは、セッション ID を用いる伝統的なセッション機構に比べて、あらゆるセキュリティ上のリスクを負うことになります。 と大口叩いておいて、それに続く理由がほとんどお粗末な運用によるものなのはどうなのか。最後に、 でもそこまでしてステートレスに JWT を使わなくてはいけないか? とまで行っていますが、JWT認証のメリットはその実装のシンプルさとステートレスなことにあります。現実的には実際はDB参照とか必要になったりするんですが、ほとんど改ざん検証だけで済むのは魅力的です。トレードオフでリアルタイムでユーザー無効化ができないことくらいですかね。ライブラリなんて使う必要ないほどシンプルだし、トレードオフさえ許容できればむしろ、なぜこれ以上に複雑な認証
スマートフォン(スマホ)普及で沸くネット業界。一方である難題が浮上し、業界全体が揺れている。コンテンツの内容を充実させネット広告の売り上げをアップさせるには、利用者一人ひとりがどう見たかを分析し、かつその人にあった内容の広告を配信しなければならない。そのために欠かせないのが利用者が誰なのかを高い精度で推定すること。ところがスマホの登場でコンテンツの主役がウェブからアプリ(応用ソフト)に移行し、こ
実例に学ぶXSS脆弱性の発見と修正方法/line_dm 16 20160916 how to find and fix xss
LINE Developer Meetup in Fukuoka #16 http://connpass.com/event/38413/
CSRF is (really) dead
Scott Helme Security researcher, entrepreneur and international speaker who specialises in web technologies. More posts by Scott Helme. A little while back I wrote a blog post about how "CSRF is dead". It focused on SameSite cookies, a powerful yet simple feature to protect your website against CSRF attacks. As powerful as it was, and as much as it will kill CSRF, you had to enable it on your site
Vivaldi Browser | Powerful, Personal and Private web browser
Powerful. Personal. Private. Get unrivaled customization options and built-in browser features for better performance, productivity, and privacy. Download Vivaldi Explore features Available for Windows, Mac, Linux, Android and iOS.
3年ほど前に、Ruby製のクローラー"anemone"を紹介しました。その当時から完成度が高く、Rubyでクローラーを使う場合はanemoneを利用してきました。最近、他に新しくて良いのがないか調べましたが、機能面の網羅性という意味でanemoneを超えるものは見つけられませんでした。そこで改めてanemoneのソースを読んでみたところ、クローラーが必要とする機能を必要最小限で実装され、やはり中々良い出来です。冬休みの宿題ではないですが、勉強の意味を兼ねてソースを追っていくことにします。 Anemoneが利用しているライブラリ一覧 anemoneが利用しているライブラリは、4種類に分類できます。 Ruby標準or一般的なライブラリ データ取得で利用しているライブラリ データ解析で利用しているライブラリ データ保存で利用しているライブラリ この分類別に構造をみるとわかりやすいので、順番に追っ
一休.comレストランのスマートフォン検索ページがSPAになりました - 一休.com Developers Blog
一休.com レストランは今年の 7 月 18 日、スマートフォン向け検索ページのリニューアルを行いました。このエントリーでは、その中身について少し紹介させていただきます。 検索ページの課題 一休.com レストランではスマートフォン向け検索ページに対して「遅い」という課題意識がありました。これは技術面で少しブレイクダウンすると; パーソナライズドを含む複雑な処理を行っているため、サーバーサイド処理が重い。 UI 上無駄な遅延処理を行っているため、クライアントサイドの描画が遅い。 というサーバー側とクライアント側両方の課題がありました。クライアントサイドの「無駄な遅延処理」というのは; 検索結果取得が REST API 化されているにも関わず、再検索の度にページリロードを行い、サーバーサイドの描画からやり直している。 という実装に問題がありました。下図がリニューアル前のページ描画の様子です
カレーの一生 - 平民新聞
この日記の日付とは微妙にずれているのだけれど、先月の25日(金曜日)早朝、近所の八百屋であれやこれやと食材を買い込み、昼過ぎからカレーを作り出した。一人暮らしの部屋で、大鍋でカレーを作る、とはどういう事かというと、要するにこの先しばらくは毎日カレーだけを食い続ける、という事である。鍋が半分、もしくはそれ以下にまで減るとまた新たに食材を投入してしまうという自分の癖もあり、金曜日に作ったカレーはそのまましばらくのあいだ生き続ける事になった。これは食材を畳の上に広げてから、カレーが出来、カレーを食べ続け、鍋が空っぽになるまでの、カレーと共に暮らした11日間の記録である。 と、大袈裟な口調で言ってみましたが、単なるカレーの写真日記です。カレーと関係ないものも入ってますが、毎日カレーだけをのっけ続けるのもあれかなーと思ったからです。晴れた日もあれば曇りの日もあり、途中で雪が降ったりもしました。あ、そ
まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
"JWT=ステートレス"から一歩踏み出すための考え方
おはようございます、ritouです。 この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独自エンコード方式(一般的にフレームワークのCookieストアと呼ばれているもの)でも起こり得る 「セッションID vs JWTで内包」 以外にも 「セッションIDをJWTに内包」もあり得る。既存の機能を残しつつ「JWTで武装」する選択肢も考えてみてはどうか。 ステートレスなセッション管理でログアウトの際に文字列自体を無効化できない問題 これは前から言われていますし、駆け出し何とか勢のQiita記事に書かれるぐらいには一般的です。 2
【及川卓也・清水亮・羽田野太巳・藤村厚夫】すごい人達呼んで「Webは死ぬか?」をマジメに語り合ってもらった(前編) 白石 俊平(HTML5 Experts.jp編集長) 今また、「Webの死」を予言する論調をそこここに見かけます。モバイルやウェアラブルといった新たなコンテキストが、プラットフォームネイティブな技術の優位性を後押ししているだけではなく、Webコンテンツの消費の仕方を大きく変え、Web上で成り立っていたビジネスモデルをも脅かしつつあります。 本当にWebはヤバいのか、気になってしょうがないので、スゴい人たちに集まってもらって、「Webは死ぬか」について語り合っていただきました。Webを取り巻く様々な論点を包括的に議論でき、貴重な場になったのではないかと自負しております。 Webに関わる人にとっては必読の対談だと思います!でもこの記事、長くて濃いので、心してかかってくださいね:-
はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っているエンジニアの多くの方が知っている脆弱性です。ですが、私はWebアプリケーションの脆弱性診断を行ってきた経験の中で多くのXSSを目にしてきましたし、依然として検出率の多い脆弱性の一つだと感じています。 その認知度や、一般的な対策方法のハードルの低さ(設計や仕様によっては対策工数が大きい場合もありますが)にも関わらずXSSの検出率が多いのは、直感的にリスクがわかりづらく、アラートをあげるだけの紹介が多いことが一つの要因ではないかと考えています。 すなわち、興味範囲が「どのよう
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
PHPで安全なセッション管理を実現する方法
_ 残り容量が数十Mバイトになっていた PCがなんかくそ遅いなーと思ってふと空きディスク容量をみたら、残り数十Mバイトまで減っていた。Folder Size for Windowsで各ディレクトリ単位のディスク使用量をながめてみたところ、 Thunderbirdでimapでアクセスしているアカウントのデータフォルダに、なぜか1GバイトオーバーのINBOXファイルがあった。なにこれ? 削除したけど別に動作には支障はなし。 puttyのlogが無限に追記されたよ……。数Gバイト。 昔ダウンロードしたCD/DVD-ROMのisoイメージファイルが、そこかしこに消されず残ってたよ。10Gバイトオーバー。 あと、細かいテンポラリディレクトリの中身とか消したら、30Gバイトくらい空いた。そこまでやって久しぶりにデフラグを起動したら、表示が真っ赤(ほとんど全部断片化されている)だったので、最適化実行中。
はじめに 皆様 JavaScript のスピード競争が激化し、 ECMAScript 3.1 の仕様の策定が進むなど、激動の JavaScript 時代をいかがお過ごしでしょうか。 さて今日は、今、ちまたで大ブレイクの兆しを見せている DOM Storage という仕様を紹介したいと思います。 DOM Storage とは何か まず、 DOM Storage とはどんなものなのでしょうか。 とても簡単に言ってしまえば、とてもたくさんのデータが保存できてサーバーに自動で送られない Cookie みたいなものです。 さらに、 Cookie とは違って JavaScript からとても扱い易く作られています。 では、この DOMStorage の具体的なソースコードを見てみましょう。 <!DOCTYPE html> <html> <head><title>DOMStorage の使い方</tit
Webサイトを見ると、「Cookie(クッキー)」使用への同意を確認するバナーが出てきたことはないでしょうか? 少し、うざったくも見えるこのバナー。なぜ、最近こうした表示が増えてきたのでしょうか。専門家に聞きました。 Cookie使用の同意を求めるバナーの例(電通公式サイト) そもそも、「Cookie」とは何でしょうか。「Cookie」とは、閲覧したWebサイトのサーバーから発行され、ユーザーのコンピューターなどの中に預けておくファイルのことです。Cookieによって、ユーザーがWebサイトで入力した情報やサイト内のどこを閲覧しているのかといった情報などを、サイトの運営や広告配信業者などが取得することができます。 SNSなどへのログイン状態を維持したり、通販サイトで買い物かごに入れた商品がWebサイトをいったん離れても再表示されたりするのは、Cookieによるものです。一方、企業側もCoo
認証を持たないウェブアプリケーションをいざ認証に対応させようと思うと案外面倒でモチベーションを無くしてしまうなんて事もよく起きうる話です。特に社内向けのアプリケーションを作っていたら本番で使う事になってしまって、なんて話は良くある話です。開発で本番 DB を見るのはちょっと...。でも既存のコードをゴリゴリと触りたくない。そんな場合にログイン認証部分だけマイクロサービス化できると気持ちも幾分和らぎます。今日はそんなちょっと便利なサーバ「loginsrv」を紹介したいと思います。 GitHub - tarent/loginsrv: JWT login microservice with plugable backends such as OAuth2, Github, htpasswd, osiam loginsrv is a standalone minimalistic login se
利用者識別番号を取得する e-Taxの開始(変更等)届出書作成・提出コーナー メッセージボックス等を確認する e-Taxソフト(WEB版)(個人の方・法人の方) e-Taxソフト 申告書を作成する 確定申告書等作成コーナー e-Taxソフト CSVファイルチェックコーナー 申請(届出)を作成する e-Taxソフト(WEB版)(個人の方・法人の方) e-Taxソフト NISAコーナー FATCAコーナー 多国籍企業情報の報告コーナー CRS報告コーナー その他 電子的控除証明書等作成ソフトダウンロードコーナー QRコード付証明書等作成システム
"リアルタイム Web" に関するプラクティスのアウトプット - Block Rockin’ Codes
追記 11/12/26 MLのスレッドへのリンクが間違っていたので修正。 introduction WebSocket なんかをつかって、従来のステートレスな処理以外に、コネクションを継続するステートフルな処理が可能になりました。 これを利用すると、これまで実装が難しかったリアルタイムな表現を Web に持ち込むことができます。 そして、 WebSocket を用いたプログラムを作成する上で、Node.js と Socket.IO を用いる方法について、 今年はこのブログでも何度か紹介してきました。 今日は今年一年の集大成として、自分が色々試しながら得たリアルタイム Web に関する知識、技術などを、 ここにまとめてアウトプットしたいと思います。 今回お話しするのは、 東京Node学園 3時限目 : ATND で発表した下記内容の抜粋です。 Node Academy | "About Sl
スクレイピングのチュートリアルを書いてみた。 参考:http://nokogiri.rubyforge.org/nokogiri/Nokogiri.html まだまだたくさんのクラスやメソッドがあるが(読んでない)、HTMLのスクレイピングに限定すれば多分これくらいで十分。 2014-02-16追記 なんかたくさんブックマークされていることに気づいたので、サンプルコードのRuby1.9/2対応のアップデート。 Mechanize周りも修正。WWW::Mechanize → Mechanize 等 (0) 前提知識 Ruby、HTML、DOM、CSSセレクタまたはXPath (1) クラス構造の理解 Nokogiri::HTML::Document < Nokogiri::XML::Document < Nokogiri::XML::Node < Object Nokogiri::XML::
有力な就職情報サイト「リクナビ」の運営会社が、いわゆる学生の内定辞退率を企業に販売していた問題で、リクナビ側は、学生を個別に識別できる電子情報を入手するため、利用企業に対し、応募した学生にウェブ上の簡単なアンケートに答えてもらうよう指南していたことが新たに分かりました。 学生にアンケートの目的は十分説明されておらず、不適切なサービスの実態が一段と浮き彫りになりました。 関係者によりますと、リクナビ側は個別の学生ごとの閲覧記録を把握するのに必要な情報を得るため、サービスの利用企業に対して、学生がウェブ上で簡単に答えられるアンケートを実施するよう指南していたことが新たに分かりました。 このアンケートで得ようとしたのは、どのページを閲覧したか把握するために欠かせない「クッキー」と呼ばれる電子的な識別情報でしたが、その目的についてリクナビ側や利用企業から学生に対して十分な説明はなかったということで
合わせて読んでください:Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話 (2014-02/07) XMLHttpRequestを使うことで、Cookieやリファラ、hidden内のトークンを使用せずにシンプルにCSRF対策が行える。POSTするJavaScriptは以下の通り。(2013/03/04:コード一部修正) function post(){ var s = "mail=" + encodeURIComponent( document.getElementById("mail").value ) + "&msg=" + encodeURIComponent( document.getElementById("msg").value ); var xhr = new XMLHttpRequest(); xhr
はじめに 昨年から DNS over TLS (DoT)、DNS over HTTPS (DoH) にまつわる動きが急速に活発になっています。 DoT は2016年に RFC7858 が出てしばらくは大きな動きはありませんでしたが、2017年11月にサービス開始した public DNS である Quad9 (9.9.9.9)、昨年4月開始の Cloudflare (1.1.1.1)が相次いで DoT に正式対応し、遅れて今年1月には Google Public DNS (8.8.8.8) も対応しました。クライアント側としては昨年8月リリースの Android 9 “Pie” が DoT に対応しています。 DoH は仕様の標準化より実装の方が先行しています。Cloudflare は DoT だけでなく DoH も昨年4月のサービス開始当初からサポートしています。Mozilla Fire
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
最近話題になったイケてるWebサービス・アプリ9選(2013年9月編)
Cookieの新しい属性、SameParty属性について - ASnoKaze blog
全く何も痕跡を残さずにブラウズする方法 | ライフハッカー・ジャパン
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
【速報】Googleにお前らの年齢、性別、趣味がバレバレ!!!
なぜGoogleはJSONの先頭に while(1); をつけるのか - Qiita
sessionとcookieが多分わかる資料
大規模 Web サービスでログインを長期間保持するには SESSION は使わず Cookie とデータベースだけで実装する | ウェブル
グーグル、「サードパーティーCookie廃止」方針を転換へ
手っ取り早くウェブアプリケーションにOAuth2認証を導入する - その手の平は尻もつかめるさ
CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった
ネット戦略の要技術が消える 「クッキー」の功罪 - 日本経済新聞
あらためてRuby製のクローラー、"anemone"を調べてみた - プログラマでありたい
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
すごい人達呼んで「Webは死ぬか?」をマジメに語り合ってもらった-前編- | HTML5Experts.jp
開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
Safari4 と IE8 で実装された DOM Storage とは何か - IT戦記
最近よく見る「Cookie使用同意バナー」、実は無意味? 専門家が指摘するちぐはぐ対応
Big Sky :: ログイン認証をマイクロサービス化する「loginsrv」
【e-Tax】国税電子申告・納税システム(イータックス)
IIJ、6月16日施行の「Cookie規制」 を解説〜多くのサイトやアプリが対象になり、情報の公表などが義務に
スクレイピングのためのNokogiri利用メモ - それはそれ、これはこれ
リクナビ 企業に学生へのアンケートを指南 識別情報を入手 | NHKニュース
XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記
DNS over TLS/HTTPSについて考える | IIJ Engineers Blog