タグ

ブックマーク / co3k.org (5)

  • どうして JWT をセッションに使っちゃうわけ? - co3k.org

    備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ?」というタイトルが不適切だとご指摘をいただいています。 その意見はもっともだと思いますので、現在、適切となるようにタイトルを調整しています。 ご迷惑およびお騒がせをして大変申し訳ございません。 文の表現についても改善の余地は大いにありそうですが、こちらは (すでにご意見を頂戴している関係で、) 主張が変わってしまわないように配慮しつつ慎重に調整させていただくかもしれません。 はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッシ

    rryu
    rryu 2018/09/20
    ステートレスな仕組みを使ってログインセッションというステートフルなものを実現しようとしてはいけないということか。
    リンク

  • Composer のセキュリティ上の問題が直ったので PHP な方は今すぐ更新を - co3k.org

    Composer の以下の問題が 2 月半ばあたりから話題になっていました。 Limit Replace / Provides to packages required by name in root package or any dep · Issue #2690 · composer/composer https://github.com/composer/composer/issues/2690 一言で言うと、 条件によってはユーザの意図しないパッケージがインストールされてしまう という問題です。悪意のあるパッケージをインストールしたことに気づかれなければ、攻撃者の思い通りのコードを実行させることができてしまいます。 ざっくり説明すると、 Composer には fork したパッケージや、リネームしたパッケージ から 、元のパッケージを置き換えることのできる機能が存在する (エン

    rryu
    rryu 2014/03/03
    依存パッケージがreplace先と衝突した場合にどちらがインストールされるかは状況次第だったのをエラーにするようにしたのか。
    リンク

  • CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある - co3k.org

    CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。 いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求めるべきパラメータとしての条件はたしかに満たしています。 たとえば 『安全なウェブサイトの作り方』 改訂第6版では以下のように解説されています。 6-(i)-a. (中略) その「hidden パラメータ」に秘密情報が挿入されるよう、前のページを自動生成して、実行ページではその値が正しい場合のみ処理を実行する。 (中略) この秘密情報は、セッション管理に使用しているセッション ID を用いる方法の他、

    rryu
    rryu 2014/02/17
    兼用はセッションIDの漏洩経路を増やすということなので、あまりよろしくないとは思っていた。まあ、過去にはXSSCSSなんてのもあった訳で。
    リンク

  • PHP 5.3 でネイティブ関数の引数型エラー時の返り値が変更になったけど大丈夫? - co3k.org

    PHP 5.5.0 リリースおめでとうございます。 タイミング的に PHP 5.5 の話だと読み間違えた方 (もしくは「こいつ間違って PHP 5.3 って書いてやがるプギャー」と思った方) におかれましては、このテキーラはサービスだから、まず飲んで落ち着いてほしい。 はい。ということで、驚くべきことに、いまから、真顔で、 PHP 5.3 の変更点の話をします。でも PHP 5.5 が出るにあたってコードを見直す方もいるでしょうし、なんというかついでに気に掛けていただければと。 何の話か PHP 5.3 の「下位互換性のない変更点」として、マニュアルに以下のように示されている件についての話です。 引数を解釈する内部API が、PHP 5.3.x に同梱されている全ての拡張機能に 適用されるようになりました。つまり、互換性のないパラメーターが渡された場合、 この引数を解釈するAPIは NUL

    rryu
    rryu 2013/06/24
    そろそろ引数の型エラーとかそういう系は例外を投げてくれるモードが欲しい。強固なPHPコードを目指すとif文だらけになってしまうのが…
    リンク

  • secure.softbank.ne.jp について SoftBank に質問したら残念な結果になったの巻 - co3k.org

    割と個人的には速報なので簡単にまとめます。 高木浩光さんの http://twitter.com/HiromitsuTakagi/status/16057716034 のアドバイスを受けて、 secure.softbank.ne.jp を通さないようにする方法などについて、以下のような質問を投げました。 https://secure.okweb3.jp/mobilecreation/EokpControl?&event=QE0004&tid=24187 HTTP から HTTPS へのリンクについて OpenPNE (http://www.openpne.jp/)というオープンソースのソフトウェアを開発している者です。 SSL 環境でログイン継続に Cookie を使うにあたり、 URL として https://example.com/ のような形式と、 https://secure.so

    rryu
    rryu 2010/06/15
    公開とされていない情報を公開する権限を持たない担当者が上に上げるまでもない問い合わせとしてマニュアル通りに対応した感じですね。普通だとこれでお終いですが、今はTwitter経由で上役に直訴するという事ができる
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.