IQ-Auth
問題作成ページで問題を作成できます。 認証に利用する写真と答はあらかじめユーザが指定しておきます。 正答と誤答を両方用意しておきますが、どれが正答かは指定しません。 正答を選んでも誤答を選んでも何らかのパスワードが生成されますが、正答を選んだ場合だけ正しいパスワードが生成されます。 解説 ユーザだけが詳細を知っているような写真を利用して問題を作成します。 問題と回答からパスワードが自働的に計算されます。 すべての問題に正答したとき生成されるパスワードを、ログインしたいシステムに登録しておきます。 正答を選ばないと正しいパスワードが計算されません。 ユーザが正しく回答できれば必ず正しいパスワードを生成できるので、パスワードを忘れて困ることがありません。 多くの問題と回答を用意しておけばより安全になります。 利点 絶対に忘れない知識をもとに問題を作成すれば、パスワードを忘れる危険がなくなります
まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
2006年は認証APIの年
Webカレンダーの30Boxesが「出す」と宣言していたAPIの一端を公開した。まだイベントの作成と更新が公開されていないが、それが出れば手元のツールと同期するプログラムとか簡単に書けそうだ。 Google、Amazon、eBayで始まったWeb APIの大きな流れは、当初の読み取り専用データのWeb公開(Open Data!)を経て、Flickr APIとその仲間たちやAtom PPのような更新できるAPI(をSPIと呼んだこともあったっけ)へと歩を進めつつある。 更新できるAPIで重要なのは、認証機能だ。30Boxesも、カレンダーにデータを追加することを念頭においているわけだから当然だが、最初から認証機能が用意されている。こんなAPI呼び出しでユーザーの承認を受けることができる。Flickrとその仲間たちも同じような仕組みでユーザーがアプリへ承認を与えることができる。Amazon W
hoshikuzu | star_dust の書斎 | エログリッド・コンピューティング::CAPTCHA破れたり::CSRF対策関連
■エログリッド・コンピューティング::CAPTCHA破れたり::CSRF対策関連 CSRF対策とCAPTCHAの利用 CSRF対策としてCAPTCHAの導入のみで済まそうとすることは危険です。 2006/03/18追記::金床さんからご指摘がありました。CSRFと下記のCAPTCHA破りの件は無関係でした。ご指摘有難うございます。 さて、CAPTCHAが破られたというのは ・botが自動的に(あるいはエログリッドのように半自動的?に)画像の文字を読みとることができるようになった ということです。しかしCSRFの観点で考えれば、正規ユーザのブラウザに送られたCAPTCHA画像は攻撃者の手には渡りません。ですから、この画像に隠されている文字列が自動的に判別できようができまいが関係ありません。つまり、依然としてこのCAPTCHAは ・チケットとして正しく動作 するので、CSRFは防げます。 追記
Using AJAX with CAPTCHA - AJAX Security Part 3 of 3 - waelchatila.com
Background This article shows one way to use AJAX along with a series of images to create a secure CAPTCHA system. CAPTCHA is a way to tell humans and computers apart and is used all over the web, especially if you're signing up for new email accounts. For more background information and definitions, see http://en.wikipedia.org/wiki/Captcha Building an AJAX CAPTCHA First a database of images is c
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.madchat.org/crypto/papers/alibaba.pdf
