高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
PHP Tips - SaltとIterationCountによる堅牢なパスワード暗号化
PHP Tips - SaltとIterationCountによるパスワード暗号化 2006年9月17日 1:38 辞書攻撃によるパスワード解読を防ぐため、堅牢な暗号化を行う。 今回は短いのでサンプルのダウンロードはありません。また説明が長いですがあんまり読む必要ないかもしれません^^; まず話の前提ですが、データファイルにパスワードが保存されている状態、そして そのデータファイルが漏れてしまった場合を推定します。 パスワードが平文(暗号化されていない状態)は問題外として、例えば1回だけ「MD5」なり「SHA1」で 暗号化したものを保存するとします。この場合、パスワードを解読する側(以下攻撃者)は、さまざまな単語を 「MD5」及び「SHA1」で暗号化した「辞書」をあらかじめ準備しておき、データファイルに保存されている暗号化された パスワードに対し一致のチェックを行うことで、パスワードを割り
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
