セキュリティに配慮したコードの書き方を学びたいです。 効果的な学習法を教えて下さい。 - hamachiya2インタビュー
学習法は知らないけど、セキュリティに限らずバグのないコードを書く為には 想像力が大事だと思う。 たとえば「ここは数字が入力されているはずだから」ってことで 入力された値をそのまま計算しちゃうコードだと、 「もし数字以外が入力されていたら?」 「もし割り算なのにゼロが入力されていたら?」 みたいな、いわゆる「異常系」が沢山あるよね。 それをどれだけ想像できるか。 もちろんいくつかの定番パターンは本や他人のコードからの学習でも覚えられるし、そういった学習を時々することも大事。 だけど教科書に書いてあることって、なかなか覚えられないよね。 少なくともぼくはそう。 だから自分で書いて、そして「手を抜かず想像して」、それを経験として覚えていくのが良いんじゃないかな。 プログラムじゃなくて文章とかでもそうだよ。 ぼくは一行書くたびに、 「ほんとに矛盾はないか?異常はないか?
JavascriptのMath.random()でユーザートラッキングができるという話 - kogelab::memo
表題の件について。 地味な話ですが、javascript(というかECMAの仕様)にあるMath.random()には、乱数のシードを与える方法が無いようです。 そんなわけで、われわれ一般市民は各ブラウザが独自に実装している、謎のシードで初期化された謎のアルゴリズムで作られた乱数を通常使うわけですが。 Mozillaからこんなの出てた。 曰く、Math.random()のシードによる初期化は、ブラウジングセッションごとに1度しか行われないと。 で、シードはまあ、かぶる率そんなに高くなさそうなので、そのシードをUSERの(擬似的な)ID代わりにしてしまえば、ユーザーのトラッキングができるよーん、とのこと。 はじめ読んだとき、「おおー、かっけー!」と思ったんですが、ちょっと待て。 シードって外から取れんのか。 というわけで、色々調べたところ、各ブラウザは(多分IEも)線形合同法による擬似乱数を
まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
