色々あっていろいろあったのに触発されました(笑 いや昔実際に実務で実装したこともあったんで、その辺を踏まえて。 大前提として ・ログインロジックに介入できる ・ユーザの「最終ログイン時間」が捕捉できる(ケースによる) が必要になりますんでご注意を…

ふと軽く気になったので、おおざっぱに。 前提として「パスワード 定期的 変更」というキーワードがありまして。 個人的にパスワードの最適変更間隔とその定量的効果の評価 https://docs.google.com/document/d/1RWDerFjLc24nr_lDhF8s0vEOJ8DPKhEnEAYG9qr_oB…

なんか最近「パスワード、いくつかの単語を組み合わせた長い文字列のほうが安全だよねぇ」的なお話が云々。 それを考えた時、今まで割と気にならなかった「警告 PASSWORD_BCRYPT をアルゴリズムに指定すると、 password が最大 72 文字までに切り詰められま…

ちょいと前に、twitterで軽くアンケートをさせていただいていたのをすっかりとまとめ損ねていたので。ふとした疑問。 ECサイト(色々あると思うのでお好みのECサイト)にて。「買い物カゴに商品を入れる」アクションでCSRF対策は必要でしょうか？ 主観バリバリ…

いくつも起因するお話はあるのですが、例えば最近おきたおもころいあたりだと、この辺(から、少し発展させた流れ)。 https://corp.gmo-pg.com/newsroom/pdf/170501_gmo_pg_ir-kaiji-02.pdf P16 通常、コードレビューは、 コーディングを担当していないメンバ…

ものすごく直近としては、teratailでの、とある質問(複数)＆他の人の回答を見たあたりで ・セキュリティ的にシャレにならんもんが書いてある ・一瞬、突っ込もうか悩む ・「否定的な返答の可能性」が脳裏に横切って、面倒なんで放置 ってのを大体脳内で1秒く…

些か興味深いものがあったのですが、ちぃと魚拓の取りにくい感じなつくりになっていたので。 せめて「テキスト文書だけでも」と思い、保全。 ここの作り的に「改行が１つだと表示的に改行にならない」ので、改行文字だけちぃと増やしました。 具体的には s/\…

頂戴したデータがvalidなのかをvalidationするvalidatorの、どっちかってぇと「理屈」部分を、少し整理してみましょう的な備忘録。 実用一点張りなのと、とりあえず「PHPメイン」で書きますんで、適宜、他言語な方々におかれましては応用したりかみ砕いたり…

超絶ただのメモｗ 普段なら手元において終わり、なんだけど、もしかしたら参考にする人が、全世界で一人くらいはいるかもかなぁ、と思ったのでｗ 先に。 お手元のbashのバージョンを確認しておきませう。 bash --version もしこれで4.3.0よりも「古い」んな…

色々考えたり調べたり悩んだりしていたのですが。 uuidgenっていうコマンドラインユーティリティあるんですねぇ知りませんでした(苦笑 http://linuxjm.sourceforge.jp/html/e2fsprogs/man1/uuidgen.1.html uuidgen - UUID 値を生成するコマンドラインユーテ…

いや、たまたまそーゆー論調をちらりと拝見したので。 結論から書くと「管理画面の脆弱性だから、インジェクションがあっても特に問題が無い」は短視野的にはYesだけど現実的にはNo。 前提として「そのインジェクションによるデータのぶっ込みは、別の画面で…

ん…年末の、escapeとかvalidateとかsanitizeとかprepared-statementとかの一連のお話をみて、ちょうど良い機会なので「自分なりに」かみ砕いたものを書いてみようかなぁ、っと。 単純に「自分の中で整理したい」のに糅てて加えて「間違いがあったらきっと突…

微妙にあちこち賑わっている気がしたので、なんか必要になる前に、おいちゃんの見解を。 まず前提として「適切にもちいられていない」ケースは排除。 具体的には「＊＊をやる、というルールを作っても、守られない/中途半端なら意味がない」ってのはどこにい…

UDIDの話は先日書いたわけなのですが( http://d.hatena.ne.jp/gallu/20130415/p1 )。 そうすると次は「んぢゃMACアドレス」という話が耳に入りまして。 ってなわけで第二弾「MACアドレスでの認証やめれ」をお送りいたします(拍手＠サクラの群れ)。 先に結論…

ちょいと今日話が出ていたので、多分今後も「出るだろうなぁ」との予想込みで、Blogに。 (余談。タグに「プライバシ」とか追加しようかしらん？ どう思います？) ん…直接的には、あぽー様がすでに「おら受けトンねぇ」宣言をなさってるでごわす。 ちなみにそ…

注意 結構「状況限定」なので、本当に「一案」程度。 前提 セッションIDが定期的に変わる。だから「セッションIDをtokenに」しにくい。 一案 「消すのが面倒くさければmemcachedにすればいいぢゃない」作戦 CSRFで引っ掛けたい画面を「画面A → 画面B」の遷移…

発端はまぁまた色々あるのですが、他でも出てくる切り口で「非常に気になる」話があったので。 前提として http://takagi-hiromitsu.jp/diary/20120504.html を読んでおいてもらえたりすると、色々と話がスムーズな気がいたします。 とりあえず直接的な考察…

モノを差し上げるにしてもお金を差し上げるにしても。 そのまんま渡すメンタリティーは、多分、日本にはあまりないと思ってます。 心付を渡すならポチ袋に入れるでしょうし、お歳暮お中元は、きちんと風呂敷につつんでもつものです。 風呂敷にしても、包み方…

大変に不勉強な話ではあるのですが。 https://twitter.com/#!/bulkneets/status/172248250999508993 例えばCakePHPという著名なPHPのWebアプリケーションフレームワークは、デフォルトでコピペのP3Pコンパクトポリシーを出力します。このポリシーがCakePHPで…

攻撃付近については http://www.ipa.go.jp/security/ciadr/vul/20120106-web.html PHP, Tomcat などを利用して開発されたウェブアプリケーションにおけるサービス運用妨害 (DoS) の脆弱性(CVE-2011-4885等) ウェブアプリケーション等で使用されている言語 (P…

後半です。 …「完了編」まで引き伸ばさないように頑張っていきたい所存でございます (｀◇´)ゞ 前回のは http://d.hatena.ne.jp/gallu/20111128/p1 をご覧ください。 さて。 まずは「ふつ〜にエスケープされた場合」に、SQL-Injectionが「発生しない」真っ当…

ものっそ大雑把に説明をしていきます。 「わかりやすさ」中心なので、「現在(ここほんの40〜50年くらい)の素晴らしい技術(アルゴリズム考え方アーキテクチャその他)」には大分と背を向けている可能性がありますのでご注意ください B-p 真面目にSQLのパースあ…

いやまぁ何カ所かで偶然「ほぼ同じ話」をしていたので、ちと自分の脳内整理を兼ねて。 一言で結論を書くと「ようは割れ窓理論」って話です。 とりあえず、お題は「XSSは非常にまずい」と。 その辺の「おいちゃん的思考」を、だらりんこんと書いていきたいと…

先に結論。「面倒くさい」と思われます(笑 以下、思考過程を。 ものすごく大まかには「id + デリミタ + パスワード、の文字列を公開鍵暗号によって暗号化 ＆ 秘密鍵は[完全に削除する | まったく物理的にも別な場所に保存しておく]」。 基本的には「id + デ…

認証系を作り直しているので、備忘録兼ねて。 とりあえず ・パスワードの持ち方を変えつつ ・セッションIDにmcryptを使わないように してみやう。…いやmcryptは捨てがたいのだが(苦笑)、オプションとして。 ・パスワードの持ち方 以前はsha1でハッシュしてい…

暗号強度の一つの根拠である「素因数分解問題」で、いやんなニュースが出回りました。 まぁ、冷静に考えてこのあたり「いつか出る"可能性"」は、いつも想定していないといかんわけで。 基本的には ・ある程度細かい周期で定期的に鍵を入れ替える ・ある程度…

JavaScriptからローカルファイルシステムへのアクセスを可能にするFile API、標準化へ一http://slashdot.jp/it/09/11/27/0545257.shtml 大惨事が起きるであろうことは、予想がつく。「どれくらい惨い」状況になるかが、想像できませぬ orz

http://d.hatena.ne.jp/Kimura/20090727/p1 2009/07/24付けで以下のIPアドレスが削除された。 えと……………恐れていた事が！！ ( (；ﾟДﾟ) ) ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ 完璧に「崩壊の序曲」来てるなぁ………

注意：文章は「最後まで」読みましょう。 元ネタはこちら。 ■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 http://takagi-hiromitsu.jp/diary/20090802.html#p01 なんていいましょうか…まったく高木先生は理解しておりません。 まず…

なんかご大層なタイトルにしてみましたが。 元ネタはこちらです。 携帯電話向けWebアプリのセッション管理はどうなっているか http://d.hatena.ne.jp/ockeghem/20090714/p1 ちなみに、会話対象になっているのは、この書籍PHP×携帯サイト 実践アプリケーショ…