[ThinkIT] 第4回:セッション乗っ取り (1/4)
今回はWebアプリケーションの脆弱性における3番目のカテゴリー「セッション乗っ取り」について解説する。 ※注意: この記事にはWebアプリケーションの脆弱性を解説する必要上、攻撃手口に関する情報が含まれています。これらの手口を他者が運営するWebサイトに向けて仕掛けると、最悪の場合刑事罰および損害賠償請求の対象となります。脆弱性の調査・検証は、必ずご自身の管理下のコンピュータシステムおよびローカルエリアネットワークで行ってください。この記事を参考にした行為により問題が生じても、筆者およびThinkIT編集局は一切責任を負いません。 Webアプリケーションのセッションとは、複数のWebページにまたがる会話処理のことである。たとえば「商品を選ぶ」「配達先を指定する」「カードで決済する」といった会話処理の流れがその例である。これらのページ間では適切に情報が引き継がれてゆくが、それは一連のHTTP
Rails 2.0の新しいセッション管理-CookieStore - iビジネス&テクノロジー
(注)この記事の動作確認環境はRC1です。 以前、Railsはデフォルトでtmp/sessionsにセッションファイルを作り続けるため、sessionsフォルダ内のメンテナンスが必要であるという記事を書きました(こちら)。Rails2.0ではデフォルトでCookieStoreという新しいセッション管理機構を用いるため、上記処理の必要がなくなります。 CookieStoreの特徴 クッキーで情報を持つため余分なIOがなくなり高速 セッションファイルの管理が不要 セッションデータが4kを越える場合はCookieOverflowエラー*1 デフォルト設定 environment.rbを確認すると、以下のような記述が追加されています。 config.action_controller.session = { :session_key => '_application_session', :secr
るびま
『るびま』は、Ruby に関する技術記事はもちろんのこと、Rubyist へのインタビューやエッセイ、その他をお届けするウェブ雑誌です。 Rubyist Magazine について 『Rubyist Magazine』、略して『るびま』は、日本 Ruby の会の有志による Rubyist の Rubyist による、Rubyist とそうでない人のためのウェブ雑誌です。 最新号 Rubyist Magazine 0058 号 バックナンバー Rubyist Magazine 0058 号 RubyKaigi 2018 直前特集号 Rubyist Magazine 0057 号 RubyKaigi 2017 直前特集号 Rubyist Magazine 0056 号 Rubyist Magazine 0055 号 Rubyist Magazine 0054 号 東京 Ruby 会議 11 直
川o・-・)<2nd life - 第0回 Rails勉強会@東京
http://wiki.fdiary.net/rails/?Rails%CA%D9%B6%AF%B2%F1%A1%F7%C5%EC%B5%FE 先日の11/05日に第0回 Rails勉強会@東京に行ってきました。急な応募にもかかわらず29名全員が欠席無しで参加とかすごい! 感想はいろんな人が書いているので、自分が当日発表したpluginだけ公開します。 http://svn.rails2u.com/public/plugins/trunk/ ActiveHeart 主に日本語関係で便利じゃないのかなぁ、といったものが入ってるpluginです。今現在は ActiveRecordMessagesJa TransSid が入ってます。ActiveRecordMessagesJaはくまくまーさんのValidationsを参考にメッセージ周りのローカライズを行ってます。このpluginを入れて cl
[Rails] 絵文字変換などの携帯サイト開発をサポートするMobile on Railsを作った
卒論を書いていたため、久々の技術ネタです。 携帯サイトの開発をサポートするプラグインを作りました。 Mobile on Rails API ドキュメント インストール方法 レポジトリをRuby forgeに移しました。 % ./script/plugin install http://mor.rubyforge.org/svn/trunk 更新履歴 以下のパッチを適用しました。ありがとうございます。 Mobile on Rails をSoftBank のあれな絵文字仕様に対応させた 主な機能は次の通り。 キャリア間の絵文字の変換メソッドキャリア内での絵文字表記の変換 ユーザエージェントに応じて絵文字を変換携帯サイト開発のための便利なメソッド フォームからの入力を内部エンコーディング(可読文字列)に変換するセッションIDをURLに付加携帯からのリクエストの際は携帯用のViewを読み込むリクエ
携帯業界の認証事情 - y-kawazの日記
巡回サイトの一つである高木浩光@自宅の日記で以下のようなエントリーがあった。 高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 確かにWEB+DBの記事に対して高木氏が注釈で言っているように「IPアドレスによる制限に関して書いていない」という点に関してはWEB+DB側の落ち度だと思う。実際これを行わない限り端末IDやユーザID*1による認証が意味をなさなくなってしまうからだ。*2 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
HACK IT OUT
先週の土曜日(7/28)の話ですが、ドリコムのrails勉強会行ってきました。 初心者向けということで、少々対象者からは外れぎみだったのですが、 基礎をすっとばして開発してきたことへの反省の意をこめて、初心に戻って 講義を受けてきました。 会場が普段お世話になっているパソナテックということも参加動機の一因だったのですが。 勉強会は14:00から17:30までで、前半はruby勉強会、後半がrails勉強会でした。 ruby勉強会の方は、ほぼ復習に近かったのでちょっと退屈でした。 言語仕様のチートシート(クイックリファレンス)も配っていたことだし、この部分は もうばっさり切って、後半のrails勉強会に織り交ぜてしまってrailsの実習の内容を 充実させたほうが良かったんじゃないかなと感じました。 後半はいよいよrailsの実習ですが、内容はDBテーブル2つを使う程度の小規模
dara日記 - jpmobile - A Rails plugin for Japanese mobile-phones
キジ焼き丼とおばんざい シンプルな我が家の定番のおばんざいたち 赤梅酢の新生姜漬け 昨夜は香ばしいきじ焼き丼に添えて。大きめにカットした鶏とししとうを魚グリルでこんがり焼く。 タレをつけながら煙モクモク、焼き鳥屋さんみたいな香ばしい香りがキッチンいっぱいに広がります 磯の味も…
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
