サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
パリ五輪
www.ansi.co.jp
注意: この文書は私の拙い知識と経験を元に書かれているので、 間違いが含まれている可能性があります。 概要 ウェブサイトでHTTPクッキーや認証機能を利用したセッション管理には CSS に類似した問題点があり、 外部から任意の操作をさせる攻撃が可能になります。 (ただし、セッションを乗っ取られることはありません。) ウェブサイトおけるセッション管理 HTTP は根本的に "状態" を持たないプロトコルです。 このため、多くのサイトでは HTTPクッキーまたはHTTPの認証機能を利用して状態を保持し、 仮想的に "セッション" を作り出しています。 クッキーを利用する場合には、 ユーザ名とパスワードの組み合わせまたはユニークなIDを記憶させます。 一度 "認証" が行われた後には、 ユーザがそれを意識すること無くそのデータが送信されます。 また、HTTP認証を利用して一度IDとパスワードを入
注意: この文書は私の拙い知識と経験を元に書かれているので、 全てを網羅しているわけでも無いし、全てが正しいとは限らないので注意。 CGIプログラムは外部からの入力を受け取り、 それを元に動作を切り替えることが出来る。 これによってユーザの入力を処理して結果を返すという動作が可能になるが、 その入力をそのまま利用してしまうことによってセキュリティを低下させることもある。 ここではCGIプログラムを作成する際のセキュリティ上の注意点を解説する。 なお、FORMからの入力はURIアンエスケープされた後に %CGI へ代入されていることを仮定する。 汚染された入力に起因する問題 外部から与えられた素のままのデータは "汚染された (tainted)" データと呼ばれる。 そのようなデータを利用する場合は、 必ず汚染を取り除いて使用する必要がある。 汚染されたデータを使わないようにするためには プ
技術的な情報 CGI Program Security Advisories (CGIプログラムに存在するセキュリティ上の問題に関する調査報告) CGIプログラミングとセキュリティ (より安全なCGIプログラムを作成するための手引き) セッション管理の脆弱性 (HTTPクッキー・認証機能を使用したセッション管理の問題点に関する考察) その他 配布元の公開方針 (配布元のセキュリティホールに対する対応方針) ニューズ (CGIセキュリティ関係の情報; タレコミ歓迎) リンク (ここよりももっと有用なページ) Asuka Network Service, Inc. (ANSI) <info@ansi.co.jp>
Postfixを利用して MTA レベルでspam (迷惑メール) を排除する方法を解説します。 送信元・送信者による制限 メールの中身によるフィルタリング 公開ブラックリストの利用 設定例 Asuka Network Service, Inc. (ANSI) <info@ansi.co.jp> HIRATA Yasuyuki <yasu@ansi.co.jp>
このページを最初にブックマークしてみませんか?
『Asuka Network Service, Inc.』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く