タグ

関連タグで絞り込む (20)

タグの絞り込みを解除

webサービスとcookieに関するkgbuのブックマーク (5)

  • Hideki SAKAMOTO の雑記 (2010-06-23)

    ◆ [Rails] 「Ruby on Rails 携帯サイト開発技法」第9章のサンプルコードに含まれる脆弱性について .tright small.(2010/6/25公開)^J2010/6/27: 「追記1」記載、微修正^J2010/6/28: 脚注*5 修正 まとめ ソフトバンククリエイティブ社から発行されている「Ruby on Rails 携帯サイト開発技法」の第9章に掲載されているサンプルコード(ファイル4/4)にはセッションIDの発行・管理に不備があるため、セッションハイジャックが可能です。 解説 このの第9章には「携帯端末特化型セッション管理」と称していわゆる「かんたんログイン」の実装サンプルが掲載されています。第9章の冒頭部分から、その特長に関する記述を抜粋すると、 Cookieの代わりにリクエストヘッダからの情報を使ってセッション管理を行うという、携帯サイトならではのセッシ

    kgbu
    kgbu 2010/06/28
    かんたんログイン絡みの話でもあり、自前実装がコストに見合うか、の話でもあり、考えさせられる。
    リンク

  • [OAuth] 携帯でfoursquareのOAuthを無理やりやってみた

    モバイルフォースクエアの開発初期に、OAuthでfoursquareの認証をやろうとしていた時に試した結果です。手元にあったAU,docomoの端末で確認しています。 AU(W61CA)でfoursquareのOAuthをやってみた ログイン画面 承認画面 日語文字化け… 文字化け&Denyが押せないが、動作はOK! docomo Cookie対応機種(N-07A)でfoursquareのOAuthをやってみたログイン画面 承認画面 デザインは崩れるが、動作はOK! デザインは崩れるが、動作はOK! docomo Cookie非対応機種(SH704i)でfoursquareのOAuthをやってみたログイン画面→表示が崩れ、ログインボタンを押しても同じ画面が繰り返し表示されるだけ…。 ※当時はログインできていた記憶が…、サーバ側の実装が変わったかもしれないです まとめCookie対応機なら

    [OAuth] 携帯でfoursquareのOAuthを無理やりやってみた
    kgbu
    kgbu 2010/05/25
    cookie対応してればなんとかなりそうなんだけど、画面が崩れちゃうケースがあるのはこまったもんだ
    リンク

  • Twitter, OAuth and Passwords - Oh My!

    Twitter has a gaping security hole.  Changing your password won't stop malicious users logging in as you! I received a rather worrying email from Twitter.  Apparently they thought my password had been compromised and needed to be reset. After checking to see if it was valid, I went and changed my password.  Any site which relied on a cookie to post to Twitter would have been blocked out. Ha! Gotch

    Twitter, OAuth and Passwords - Oh My!
    kgbu
    kgbu 2009/11/06
    twitterのパスワードを変えても、OAuthでsubscribeしているサービスのtokenはrevokeされない。OAuthの問題というより、twitterがそういうポリシーだっていうだけだが、良いuse caseの追加のチャンスでもあるな。
    リンク

  • 経路のセキュリティと同時にセキュアなセッション管理を:IPA 独立行政法人 情報処理推進機構

    独立行政法人産業技術総合研究所から発行されたテクニカルレポート(AIST03-J00017)において、セッション管理のためにクッキー(cookie)を使用し、かつ、SSL/TLS のような経路のセキュリティ保護を行っている Web アプリケーションにおいて、クッキーを secure モードで発行することの重要性が指摘されています。 このテクニカルレポートに関連して、経路のセキュリティと同時にセキュアなセッション管理を行う必要性について解説します。

    kgbu
    kgbu 2008/08/20
    5年もたってから、gmailのssl化でこの話に気づく俺。情けない。
    リンク

  • Google、Gmailのセキュリティ設定を変更

    Googleは7月24日、Gmail利用時に常にhttpsを利用できる設定オプションを追加した。 https(hypertext transfer protocol security)は、httpにデータ暗号化機能を付け加えたプロトコル。httpsでログインすると送信時に情報が暗号化され、ネットワーク上でメールが盗み見られるリスクが軽減される。 これまでもGmailへのログイン時には毎回httpsが利用されてきたが、ログイン後はユーザーがhttps://mail.google.comをあえて利用しない限り、httpでの接続に切り替えられていた。httpsでの接続だとデータ復号のためメールダウンロードの速度が落ちることを考慮しての設定だったという。 常時httpsを使用するには、Gmailの設定の「全般」タブで「常にhttpsを使用する」を選択すればいい。 同社はすべてのGmailユーザー

    Google、Gmailのセキュリティ設定を変更
    kgbu
    kgbu 2008/08/20
    今度自分もやっとこう。別件でcookieを盗むとかいうツールにこれが有効だとスラドに出てたが、なぜsslだとそれが防げるかはちょっと詳細が無い(ツールの公開まで詳細不明は当然だが)あれ?設定項目無いぞ?
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.