貴方がもらったチョコはどんな気持ちで渡された? チョコ鑑定はそれをチェックできるサービスです。 未入力状態で、チェックすると素敵な男の子、女の子の名前が自動的に入るよ☆
貴方がもらったチョコはどんな気持ちで渡された? チョコ鑑定はそれをチェックできるサービスです。 未入力状態で、チェックすると素敵な男の子、女の子の名前が自動的に入るよ☆
_ CookieStoreとセキュリティ Rails 2.0ではCookieStoreという新しいセッションストアが導入されている。 CookieStoreは、セッションデータをサーバ上のファイルやDBに保存する代りに、クッキー自体に保存する。 このため、セッションデータの読み書きのコストが減ったり、古いセッションデータ の掃除の手間がなくなる、という利点がある。 「そんなことをしたらユーザにセッションデータを改竄されるじゃないか」というのが 当然の疑問だが、HMAC(デフォルトではSHA1)によるチェックで改竄を防ぐようになっ ている。 ただし、セッションデータ自体は平文(marshal+base64)なので、中身を見られてしま う。これについては、そもそもユーザに見られては困るようなデータをセッションデ ータに格納すべきではない、という立場を取っているようだ。 ちょっと気になるのが、サ
Session Fixationについては話題になって久しいので今さら解説するまでもないと思う。……と思ったらそうでもなさそうなのでちょっと書いてみる。 Session Fixationとは何か 一般に、Session Fixationとして話題にのぼるのは、PHPなどにおける以下のような手法である。 http://www.example.com/index.php?PHPSESSID=abcde こうすることで、(対策の取られていない)PHPは、セッションIDを’abcde’と解釈してしまう。セッションIDは本来サーバーが発行するはずのものであるが、URIに埋め込むことでクライアント側からセッションIDを指定することが出来てしまうものである。 この「セッションIDが任意のものに設定可能である」ことを利用した攻撃をSession Fixation攻撃と呼ぶ……と解釈している人は以
_ CSRF対策 0.13.0にもCSRF対策のコードはとくにないようだ。 MLの議論を追ってなかったのだが、結局アプリケーション側で対策する べしということだろうか。 まず、ApplicationControllerとApplicationHelperに以下のような記述をしておく。 app/controller/application.rb: class ApplicationController < ActionController::Base private def validate_session if @params[:session_id_validation] == @session.session_id return true else render(:text => SESSION_VALIDATION_FAILED_HTML, :status => "403 Forbi
annotate_model便利なんだけど、変更されてないテーブルのモデルとかフィクスチャとかのヘッダも書き換えるので、うっかり実行するとものすごい勢いで他の人の変更と衝突して辛い。ので、無理やり改造。 vendor/plugins/annotate_models/lib/annotate_models.rb def self.annotate_one_file(file_name, info_block) if File.exist?(file_name) content = File.read(file_name) old_info_block = content =~ /^# #{PREFIX}.*?\n(#.*\n)*\n/ ? $& : '' unless info_block.sub(/version: \d+/, '') == old_info_block.sub(/vers
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く