クロスサイトスクリプティング(XSS)とCSRFの違い早分かり - ockeghem(徳丸浩)の日記
昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく なりすましのようなことが結果としてできる どちらも受動型攻撃である それに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全然違うものですよ」となるのだろうが、現に混同している人がいるのだから紛らわしい点もあるのだろう。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く このため、XSSでできる悪いことは、すなわちJavaScriptでできることであって、攻撃対象のCookieを盗み出すことが典型例となる。一方、CS
品質とは何か
品質という言葉の意味 測定との関係と視点 品質の種類 基本的な考え方 ソフトウェア品質特性 機能性品質特性の品質副特性 信頼性品質特性の品質副特性 使用性品質特性の品質副特性 効率性品質特性の品質副特性 保守性品質特性の品質副特性 移植性品質特性の品質副特性 利用時の品質とは 俯瞰 まとめ 品質という言葉の意味 「品質」という言葉は、我々の世界ではよく使いますが、 品質とは何でしょう。 品質が良い/悪い、と言ったり、 品質を上げる、と言ったりしますが、 これがどんなものなのか、明確に認識しているでしょうか。 いろいろな人の話を聞いていると、 意外と認識が一致していません。 人によっては、検証の結果を見て言います。 「このモジュールは品質が悪いね」と。 人によっては、プロジェクト開始前に言います。 「前回のような品質問題は起こさないようにしよう」と。 人によっては、常に使います。 「品質を測
情報を「オープン」にするということ - shibataismの日記
ここ1週間くらいで「OpenID」とか「OpenSocial」って上手くいくと思います?ということを10回くらい聞かれたので、その整理を。 個人的には情報をオープンにすることというのはとても素晴らしいことだし、個人的にもそうしていきたいと思うけど、もう少し冷静にどういうことなのを書いてみたい。 最初に結論を書くと、「OpenID」も「OpenSocial」も上手くいかないと思う。情報をオープンにするというのが機能する(=オープンにすることで場が活性化する)のは、 オープンにするレイヤーでは誰も経済的な競争をしない オープンにするレイヤーの一つ下のレイヤーで圧倒的な支配者がいる場合 のいずれかだと思う。 前者は、例えばLinux。Linuxはいろいろな流派があるけど、例えばDebianとUbuntuのどっちがいけてるかという話はあっても、DebianとUbuntuのどっちが儲かるかという競争
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
