独立行政法人産業技術総合研究所から発行されたテクニカルレポート(AIST03-J00017)において、セッション管理のためにクッキー(cookie)を使用し、かつ、SSL/TLS のような経路のセキュリティ保護を行っている Web アプリケーションにおいて、クッキーを secure モードで発行することの重要性が指摘されています。 このテクニカルレポートに関連して、経路のセキュリティと同時にセキュアなセッション管理を行う必要性について解説します。
これだけは知っておきたいセッション変数の基礎:もいちどイチから! HTTP基礎訓練中(8)(1/4 ページ) 前回の「基礎のキソ、エブリバディ・セッション管理!」に続き、セッション管理の基本を解説します。宿題の解答編もありますので、クイズを解く感覚でぜひ皆さんも挑戦してみてください(編集部)
「HTTPSの証明書エラーが出るサイトで個人情報などを入れては駄目」とネトランでも常日頃書いているが、「なぜ」という疑問を持っている人もいるのではないだろうか。「HTTPSのサイトを利用して個人情報を盗み出す手口」の概要が分かるツール「burp proxy」で、情報窃盗攻撃の仕組みと、HTTPSエラーの怖さを紹介する。 「HTTPSとは」「証明書エラーとは」、という話を長々と書くスペースがないので簡潔にまとめる。 HTTPSのサイトで行われている情報は暗号化されており、ネットワーク盗聴では盗まれない通信相手が本物かどうか判定するために証明書が必要この二点から素直に「証明書エラーサイトでは個人情報を入れないようにしよう」と思える人ならそれで良いのだが、以下のような疑問が出るかもしれない(というか出る人の方がむしろ正しい)。 「偽物」とは例えばいわゆるフィッシングサイトだが、「フィッシングサイ
最近、セッションフィクセイション脆弱性に対する関心がなぜか高まっています。同脆弱性は割合地味な脆弱性であり、話題になることはあまりありません。そこで、関心の高いこの時期に、セッションフィクセイション脆弱性の影響を受けやすいサイトについて説明し、注意を喚起したいと思います。 セッションフィクセイション脆弱性とは セッションフィクセイション(セッションIDの固定化)脆弱性は、なんらかの方法で利用者(被害者)のブラウザ上でセッションIDを強制的に指定して、その後利用者がログインしたタイミングで、攻撃者が「ログイン済みのセッションID」を知ることができるという脆弱性です。「安全なウェブサイトの作り方(改訂第五版)」P17から図を引用します。 図の「2.何らかの方法で自分が取得したセッションIDを利用者に送り込む」手法は、安全なウェブサイトの作り方では説明されていません。そこで、以下に「セッションI
鍵のマークが表示されても、「オレオレ証明書」じゃ意味がない! 緑のマークの「EV SSL証明書」で安全が確保できる理由を5分で解説します
A framekiller (or framebuster or framebreaker) is a technique used by websites and web applications to prevent their web pages from being displayed within a frame. A frame is a subdivision of a Web browser window and can act like a smaller window. A framekiller is usually used to prevent a website from being loaded from within a frameset without permission or as an attack, as with clickjacking. Fr
「原稿を書いては消し書いては消ししていて全然進まない」という話をよく聞きます。 これって「よくない精神状態」にハマり込んでいると思います。 考えてみましょう。人間が脳内で保持できる情報はどれくらいでしょう?原稿に文章Aを書いて、しっくりこないので消して、文章Bを書いた後で、文章Aのことをどれくらい覚えていますか?文章Aを書いている時に何を伝えることが重要だと考えていたか覚えていますか? 「書いて消して」を繰り返している間、時間は消費されていますが、何も蓄積されていません。何も蓄積されないのであれば、問題はやさしくなったりはしません。ずっと同じ難易度のまま、あなたの前に立ちふさがり続けます。 原稿と戦っているうちに視野が狭くなって、自分が「よくない精神状態」にハマり込んでしまっていることを自覚できなくなるのは怖いことです。さらにはTwitterで愚痴ったり、ネットサーフィンをしてこんなサイト
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
