楽天テクノロジーカンファレンス2007 | 水無月ばけらのえび日記
楽天テクノロジーカンファレンス2007 (www.rakuten.co.jp)に行ってきたので、印象に残ったところだけ簡単にメモしておきます。 「日本発の楽天に期待すること」「楽天技術研究所フェロー」である、まつもとさん (www.rubyist.net)のお話。「何故楽天に?」「楽天で何を?」というお話がメインでしたが……そんなことより、もう楽天ロゴの真ん中の R が Ruby のロゴにしか見えないわけですよ……。 「Web開発者のための最新セキュリティ動向」カーネギーメロン大学の武田さん (motivate.jp)のお話。一般的な脆弱性の話と DNS Rebinding、あとは OpenID の話題。細かい話ですが気になった点を挙げておくと、 最近の高木さんの銀行オレオレ話 (takagi-hiromitsu.jp)は、正当な証明書を別なドメインで使おうとしている話なので、「自己署名」
セッション固定攻撃 | 鳩丸ぐろっさり (用語集)
用語「セッション固定攻撃」についてセッション固定攻撃 (せっしょんこていこうげき)"Session Fixation" のことで、セッションハイジャックの手法の一つです。 通常のセッションハイジャックは、正規ユーザーに発行されたセッション ID を攻撃者が入手することで成立します。セッション固定攻撃の場合は発想が逆で、正規ユーザーが使用するセッション ID を攻撃者が指定するのです。正規ユーザーがそのセッション ID でログインすると、攻撃が成立します。 しかし普通はこんな攻撃は成立しません。普通の Web アプリケーションでは、ユーザがログインに成功した時に初めてセッション ID が発行されます。このセッション ID はサーバ側が勝手に割り振るもので、ユーザ側が好きなセッション ID を指定する余地などないのです。 ところが何を思ったものか、世の中にはログインする前にセッション ID を
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
