おさかなラボ - 携帯電話からセッションIDの漏洩を防ぐ
携帯電話向けWebアプリの脆弱性事情はどうなっているのか@高木浩光@自宅の日記 より リンク先のWebサイトには、Refererと共に端末IDもリクエストヘッダとして送信されているわけで、セッションID入りURLと端末IDがセットで流出するのだから、当然、同じHTTPリクエストを送るだけの方法でなりすましアクセスされてしまう。 URIにセッションIDを含める方法では、悪意のあるサイトにリンクを張るだけでRefererヘッダからセッションIDが取り放題となる。また、悪意のあるサイトにアクセスしたユーザーは端末IDもHTTPヘッダに含めそのサイトに送信してしまう。端末IDは簡単に詐称することが出来るので、端末IDをチェックしてもセッションハイジャックの防止線にはならない、というお話。 私は携帯端末は専門ではないので細かいことは良くわからないのだが、以下を前提にして、携帯電話からセッション
レシピを投稿、共有するコミュニティー『GroupRecipes』 – creamu
おいしいものが作りたくていいレシピを探している。 そんなあなたにおすすめなのが、『GroupRecipes』。レシピを投稿、共有するコミュニティーだ。 レシピのページは↓のようになっている。 Grilled Potato Papillote Recipe Ingredients * 16 red skin potatoes-washed and dried * 1 Spanish onion-sliced-1/4 inch thick * Salt and pepper to taste * 4 Tablespoons butter * 4 Tablespoons olive oil * 4 8-inch long pieces of foil Directions 1. Slice 4-potatoes and place on an oiled sheet of foil along
携帯端末の個体識別情報(uid)取得方法
携帯サイトでユーザー認証をする方法はいくつかあります。 一番簡単なのは、ユーザ名とパスワードを使う方法です。 しかし、毎回入力するのはユーザにとっては面倒ですよね。 PCサイトならばクッキーを使ってこれらの情報を保存しておけるので 毎回入力する必要はありません。 しかし携帯サイトではクッキーが使えない(一部機種によって可能らしい)ので 別の手法を取ることを考えなくてはいけません。 そこで出てくるのが、携帯端末の個体識別情報(uid)を使うというやり方です。 携帯電話は電話番号と同じように、その端末を識別するIDのようなものを持っています。 これを利用すれば、アクセスしてきたのがどのユーザなのかを判別することが可能になるというわけです。 キャリアによって取得方法や制限などがあるので、以下に紹介します。 なお、個体識別情報はキャリアによって様々な言い方があるようですが ここでは便宜上「端末ID
ここギコ!: YahooからREST形式でのジオコーダAPI
Posted by nene2001 at 10:46 / Tag(Edit): yahoo api geocoder / 0 Comments: Post / View / 2 TrackBack / Google Maps YahooがREST形式の Geocoder 公開 -Nakamura-KU ADDICT- ローカルサーチWebサービスでは、キーワード検索、周辺検索の機能を提供します。キーワード検索は、住所・郵便番号・施設を指定して、その位置情報(緯度、経度)を出力します。周辺検索は、位置情報(緯度経度)、範囲を指定すると、その範囲内に含まれる施設情報を出力します。 http://developer.yahoo.co.jp/map/localsearch/V1/localsearch.html という形のようですが、Google Mapsのジオコーダは公式にはJa
ファッションでつながるSNS -- Trendmill
特化型SNSなんて珍しくもなくなりましたが、様々な工夫が凝らされているサイトを1つ。ファッションをテーマにしたSNSとのこと: ■ Trendmill Opens for Everyone; No Longer ‘invite Only’ (Internet 2.0) 紹介されているのは Trendmill というSNS。一般的なSNS機能については言及不要だと思いますので、ユニークな部分を挙げてみると: 自分の好きなファッション(服の上下、靴、ヘアアクセサリ、バッグ etc.)の画像をアップロードできる(その際、「ファッションのカテゴリ/ブランドは何か」「どこで買えるか」などの付属情報を追加可能)。他のユーザーはそのファッションを5段階で評価することが可能。 自分の服やアクセサリを売ることが可能(画像をアップロードする際に、「これをいくらで売る」という設定ができる)。 ベストファッション
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://blog.creamu.com/phpbiyori/2006/10/weather_hacks.html
Welcome to atseason.com