T.Teradaの日記 - SessionSafe: Implementing XSS Immune Session Handling
SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。 もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、 セッションIDが盗まれない 当該ページ以外の情報が窃取・改竄されない ことを目指しています。 面白いなーと思ったので、内容について少し書きます。 なお、元記事を高速斜め読みしたので、この日記の内容には間違いが含まれているかもしれません。興味のある方は原本を見てください。 セッションIDが盗まれない 以下の二つのドメインがあるとします。 www.example.com secure.example.com セッションIDのCookieは、secureサブドメインに発行します。 Webページを表示する際はwww.example.comのURLにアクセスします。そこで返すHTMLに色々と仕掛けを施します。 HTMLの仕掛け
@IT:ブラウザを飛び越えて進化するリッチクライアント
スタンドアロン型リッチクライアントとは? 野村総合研究所 情報技術本部 主任研究員 田中 達雄 2005/9/9 昨年から今年にかけリッチクライアントは普及期に入ったと筆者はみている。現在、数多くのリッチクライアントが提供されるとともに適用件数も増加傾向にあり、今後ともリッチクライアントの普及率は増加していくだろう。 そんなリッチクライアントであるが、これまでにあまりにも多くのリッチクライアントが登場し混沌(こんとん)とした状態にある。今後成熟期を迎えるに当たり、いくつかのリッチクライアントに淘汰されていくとは思うが、まずは、現存する多くのリッチクライアントを分類し、その特徴を整理していきたいと思う。 リッチクライアントはご存じのとおり、操作性の悪いHTMLベースのクライアント(以後、「HTMLクライアント」と呼ぶ)に対するソリューションの1つとして進化を遂げてきた。そのため、HTMLクラ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
