高木浩光氏による「安全なWebアプリ開発の鉄則2005」(pdf)
1 安全なWebアプリ開発の鉄則2005 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ Internet Week 2005 チュートリアル 2005年12月8日 配布資料 2 目次 • Webアプリの基本的な構成 – セッションIDによるセッション追跡 – セッションIDの配置 • セッション追跡に対する攻撃と防御 – セッションハイジャック – セッションライディング(CSRF:クロス サイトリクエストフォージェリ) – セッション固定化 • セッション追跡方式の欠陥 – 推測可能なセッション追跡パラメタ – 予測可能なセッションID – 稚拙な暗号の使用 • 権限確認の欠陥 – アクセス制御の欠如 – ユーザ識別の欠如 • 画面設計の問題 • 万が一に備えた適切な実装 •
void element blog: いろんな意味でしゃれにならないApollo
Apolloを触ってみました。 こうまで簡単にアプリが作れてしまうと近い将来、モラルに欠けたアプリが大量出現することに危惧を覚えます。 アプリを開発する人の多くは人のために何か役に立ちたいとかそういった動機を持って開発に取り組む中でモラルを育んでいく、あるいは自然と育まれるものだと思います。 しかし、Apolloはそういった過程を吹っ飛ばしてPCクリティカルなアプリを作ることが可能です。 それも1分とか超短時間で! // デスクトップのファイルおよびディレクトリの一覧を入手 var files:Array = File.desktopDirectory().listDirectory(); // ゴミ箱に左遷 file.moveToTrash(); // ゴミ箱スルーして抹殺 file.deleteFile(); あえて断片的に書きましたが、上書きにしろ削除にしろ一切警告ダイアログが出ませ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/jsonp-security.php
