リクエスト予約希望条件をお店に申し込み、お店からの確定の連絡をもって、予約が成立します。 1 予約の申し込み ご希望の条件を当サイトよりご入力ください。 2 お店からのメール ご予約が承れるか、お店からの返信メールが届きます。 3 お店へ来店 予約が確定した場合、そのままお店へお越しください。
最近になってセッション変数を使用したアプリケーションを見かけるケースが増えてきている。セッション変数とは,セッションIDとひも付けてサーバー側に格納する変数のことである。開発環境により実装の仕方は様々だが,ログイン成功時に保存される認証情報もセッション変数の一つである。 セッション変数をサーバーに格納すると,アプリケーションはセッションが有効な間,変数の値を再利用できる。これにより,例えばクライアントから送信された大量の入力項目をサーバー上で保持しながら複数の画面を遷移するようなアプリケーションを比較的容易に,かつ低コストで実装できるようになる。 筆者がアプリケーションの開発現場にいたころは,サーバー・リソースを圧迫するという理由から使用を控えていることが多かったが,マシン・スペックの向上や,アプリケーションに要求される機能の複雑さの向上といった背景により事情が変わってきているようだ。 実
今回はセッションに関連する代表的なぜい弱性の一つである「セッション・フィクセーション」について解説しよう。 セッション・フィクセーションとは,セッションIDを詐取するのではなく,攻撃者が知っているセッションIDをユーザーに使わせて,後からユーザーになりすます攻撃のことである(図1)。クッキーとして有効なセッションIDを攻撃者によりセットされ,そのセッションIDがユーザー情報とひも付けられてしまう。 図1の例では,http://example9.co.jp上の攻撃者が,ユーザーのブラウザに任意のクッキーをセットしている。このセッションIDは,攻撃者があらかじめターゲット・サイトにアクセスし,取得したものである。問題は,攻撃者がこのクッキーを,ユーザーのブラウザにセットできてしまうことだ。この攻撃が成立する大きな要因はクッキーがセットされるメカニズムにある。このメカニズムはCookieMons
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
Yahoo!JapanがGoogle採用したことで、 ほんとにシェアがどうのとかは今更の話なんだけど。 ヤフーとグーグルが提携、アルゴリズム検索技術にGoogleを採用::SEM R http://www.sem-r.com/news-2010/20100727153000.html Google http://www.google.com/ 潔いほどシンプルなGoogleと、 Yahoo! JAPAN http://www.yahoo.co.jp/ ゴチャゴチャカテゴリーのYahoo! んで4年前の疑問がこんな感じ。 Yahoo!がGoogleより人気の日本、なぜと頭をひねる − @IT http://www.atmarkit.co.jp/news/200606/14/yahoo.html 「世界各国でGoogleのウェブ検索のシェアが高いが、 日本では圧倒的にYahoo!検索が強い。こ
ドコモのクッキー対応端末(iモードブラウザ2.0)のシェアは現状どれくらいなのかを調べてみました Tweet 2010/10/28 木曜日 matsui Posted in DoCoMo | 1 Comment » 先日からモバイル界隈をざわつかせていた、ヤマト運輸のかんたんログイン脆弱性問題で気になったので、ドコモのクッキー対応端末(iモードブラウザ2.0)のシェアを調べてみました。 まずヤマト運輸の問題について知らないという方はこちら。 → ヤマト運輸の携帯Webサイトに「かんたんログイン」関連の脆弱性があったようです [ke-tai.org] → ヤマト運輸ケータイサイトに脆弱性があった問題の続報 [ke-tai.org] 今回の問題に対する一番の対策は、端末IDを使った認証(いわゆる「かんたんログイン」)を使わずに、通常のPC向けサイトと同じようにクッキーでログイン情報を管理するこ
メモ スレッドキャッシュ 接続に使ったスレッドを使い回すキャッシュ Threads_created 状態変数をみて、1行間に作成される新しいスレッドの数が10個未満になるようにする。 Threads_connected 変数を監視して、変動幅をthread_cache_sizeに設定する。例えばTherads_connected が 100〜200の幅で増減しているならthread_cache_sizeを100にする。 スレッドキャッシュに含まれるスレッドまたはスリープ状態のスレッドはそれぞれ一般に約256KBのメモリを使用する テーブルキャッシュ スレッドキャッシュと似たような感じで、テーブル情報を使い回す感じ。 InnoDBにとってはやや重要性が低い。あんまりテーブルキャッシュに依存してないみたい。 Opened_tables 状態変数の値が大きい、または増えているとしたら、テーブルキ
こんな感じで継承関係を表示してくれて便利 ree-1.8.7-2010.02 > Array.ancestors => [Array, Enumerable, Object, Kernel]
Online shopping from a great selection at fd_redirect Store.
連載第2回目の今回は、最初に位置情報の基本的な内容を確認して、実際のデバイスから位置情報を取得してみます。 位置情報の基本 位置情報は地球上のある地点を指し示す情報で、主に「緯度」「経度」で表現することができます。 「緯度」は、ある地点の赤道面との角度のことです。赤道上を0度として、北極点、南極点でそれぞれ北緯90度、南緯90度となります。英語では、latitudeとなり、省略されるときはlatとなります。 「緯度」は、ある地点のグリニッジ子午線からの角度のことです。子午線上を0度として、グリニッジから東を東経、西を西経と呼びます。英語では、longitudeとなり、省略されるときは、lonやlngとなります。 緯度も経度も、35°40’19.31”のように度分秒、もしくは35.672031のように度のみで表現されます。度分秒から度の表記には、以下のように変換できます。 35 + (
DoCoMoのこの夏モデルから、iモードブラウザ2.0というより高機能なiモードブラウザが搭載されるようになりました。 CookieやCSS,JSなど、大きな違いがありますので、実際に実機で確認をしてみます。 端末は、N-06A を使用します。なんか、発売停止なんてなってますが。。 Cookie まずは、Cookieについて。 以前、以下のような調査をしたことがあったので、同じ調査をしてみました。 auのSSLでのCookieの挙動がおかしい - maru.cc@はてな au,SoftBankでSSLでCookieセッションを使用する場合の問題点 - maru.cc@はてな 結果は、問題なく使えます。http<->httpsでの動作、secure属性の挙動も問題ありません。 これを使えば、Cookieセッションでセキュアなサイトがちゃんと作れそうです。 setcookie()の httpo
Posted by nene2001 at 14:55 / Tag(Edit): mobile cookie session / 0 Comments: Post / View / 0 TrackBack / Google Maps 携帯電話のCookie周りについて考えてたら、色々まとまらなくなったので、タイトルあいまいで全部ここに書く。 恥ずかしながら携帯Cookie初心者です。 なので、それおかしいよ、とか、或いはとっくに常識だよ、的なこと書くかもしれませんが、ご容赦のほど。 取っ掛かり:DoCoMoのiモードIDについて これまで、DoCoMoがCookie使えないのを理由として、かつキャリア毎に大きく認証処理変えてたら開発が煩雑だよね、という理由で、3キャリア携帯の端末や個人識別IDをログイン手段として用いて、WILLCOMとか識別IDを出さない仕様の方を、Co
ECC版SSL証明書インストール体験記その4 02.08.13 / 未分類 / Author: aico / Comments: (0) では、いよいよ発行されたECC証明書をインストールしましょう! 実はECC版SSL証明書は現在、ブラウザ・OSによっては対応していないものも多いので、 対応していないものはRSAの証明書を読むように、ECCとRSAのハイブリッド構成をすることが出来ます。 そしてなんと、ECCの証明書を申請するとRSAの証明書も一緒にもらうことが出来ます(ベリサインさん太っ腹!) なので今回はECCとRSAのハイブリッド構成を組みつつ証明書のインストールを行います! まずはベリサインのサイトで中間証明書を確認しましょう。 発行されたCRT、中間証明書、秘密鍵は必ず対になっている必要があります。 対になっていないとエラーになってしまいます。。 小悪魔ブログは最初、中間証明書
yesコマンドとは? 'YES' - 妖精がみえてしまうジョンアンダーソンのプログレッシブバンドのことではありません。UNIX/Linux の yes コマンドを少しだけ語ってみたいと思います。 yesコマンドってなんですか?という人はまずUNIX/Linuxのターミナルで'yes'と入力してみましょう。 $ yes y y y^Cy がひたすら続きます。引数に文字列を渡せばその文字列をひたすら吐き出します。 $ yes "Cirque du Soleil" Cirque du Soleil Cirque du Soleil Cirque du Soleil Cirque du Soleil^Cこれ意味あんの?と思いたくなります。では何に使えるのでしょう? そうターミナルで対話的に行うときに なんと あの y を入力してくれるのです。 yesの例 まずテストファイル作成 $ for i i
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く