サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
Cookie 今昔物語 - はてなるせだいあり
概要 Cookie の不幸な歴史と現状、そして将来についてまとめた。 仕様はどこにあるか Web 上の様々な規格は、誰かが定め、それに皆が合わせるという形で動いている。しかし、Cookie の仕様は誰が決め、どこで規定されているか知っている人は、意外と少ないのではないかと思う。W3C や IETF だと思っている人が多いのではなかろうか。 正解を言ってしまうと、定めたのは 1994 年、Netscape Communications 社であり、文書は http://wp.netscape.com/newsref/std/cookie_spec.html で公開されていた。アクセスしてみればわかる通り、このページはもう存在しないし、Netscape 社自体が AOL に買収されており、今は Mozilla になったというか、消えてなくなっていることを知っている人は多いだろう。当時の文書は例に
RFC2019 日本語訳 - [RFC/技術資料] ぺんたん info
2019 Transmission of IPv6 Packets Over FDDI. M. Crawford. October 1996. (Format: TXT=12344 bytes) (Obsoleted by RFC2467) (Status: PROPOSED STANDARD) プログラムでの自動翻訳です。 英語原文 Network Working Group M. Crawford Request for Comments: 2019 Fermilab Category: Standards Track October 1996 コメントを求めるワーキンググループM.クロフォードの要求をネットワークでつないでください: 2019年のフェルミ国立加速研究所カテゴリ: 標準化過程1996年10月 A Method for the Transmission of IPv6 P
RFC2965 日本語訳 - [RFC/技術資料] ぺんたん info
2965 HTTP State Management Mechanism. D. Kristol, L. Montulli. October 2000. (Format: TXT=56176 bytes) (Obsoletes RFC2109) (Status: PROPOSED STANDARD) プログラムでの自動翻訳です。 英語原文 Network Working Group D. Kristol Request for Comments: 2965 Bell Laboratories, Lucent Technologies Obsoletes: 2109 L. Montulli Category: Standards Track Epinions.com, Inc. October 2000 コメントを求めるワーキンググループD.クリストル要求をネットワークでつないでください:
クッキーメモ - ocha labs
クッキーまわりではまったので、いろいろまとめておく。 クッキーのバージョン クッキーの仕様にはバージョン0−2まである ver0. ネスケが策定したもの ver1. ネスケの仕様をもとに厳密にしたもの。多くのブラウザがサポートしてる(RFC2019) ver2. さらに整理したもの?あまりサポートされてない(RFC2965) javaの場合、v0とv1に対応しており、特にしてしなければv0の仕様に従う。 domain値について domain属性を省略した場合は、そのクッキーをセットしたサーバのホスト名がブラウザに設定される。 domain属性にホスト名を設定した場合、ブラウザ側で勝手にドットがつく。これはRFCに準拠してると思われる。 普通はdomain属性は設定してはいけない。domain属性を設定するのは、共通ドメインでクッキーを共用したいときのみである。 通常明示的にdomain属性
apache Auth Cookie Fu module - 最速配信研究会(@yamaz)
日夜アクセスと闘うWeb管理者のみなさんこんにちは. ログインしてる人にしか見せたくないコンテンツがあって,phpやperlやrubyとかで アクセス制御してたりしてなかったりするんだけど,それくらいapache側で対処 してくれよと日々悶え苦しむそんなアナタにapache Auth Cookie Fu module. これはなに? Cookieを使ってコンテンツのアクセスコントロールを行うモジュールです. Cookieの評価後,コンテンツの拒否は指定された方法(redirect, forbidden)で 処理されます.なおCookieの焼き込みは自前で用意する必要があります. module.jp小山さんのmod_auth_formとかなり似てますが, apache2対応 コンテンツ拒否の方法を指定できる などがウリです. ダウンロード http://scaleout.jp/open/mo
Apache のみで Cookie によるアクセス制御をかける - WebOS Goodies
WebOS Goodies へようこそ! WebOS はインターネットの未来形。あらゆる Web サイトが繋がり、共有し、協力して創り上げる、ひとつの巨大な情報システムです。そこでは、あらゆる情報がネットワーク上に蓄積され、我々はいつでも、どこからでも、多彩なデバイスを使ってそれらにアクセスできます。 WebOS Goodies は、さまざまな情報提供やツール開発を通して、そんな世界の実現に少しでも貢献するべく活動していきます。 自分専用のサーバーに Apache をインストールする目的のひとつに、自分専用の Web サイトを構築したい、というのがあるのではないでしょうか。最近は XOOPS や TikiWiki、各種 blog など、個人でも手軽に使える CMS が多く開発されていますので、簡単に自分専用のポータルサイトを構築できます。また、よく使う資料などをどこからでもアクセスできるよ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTTP Cookies