Security
RoRのデフォルトのセッションストアがMAC(Message authentication code)っぽい感じになったらしいです。データ自身とその正当性チェック用のコードをまとめてクライアント側でもつわけです。確かにねつ造だけが問題であればこれで良かったんですよね。何で今…
なんか盛りあがっているけれども、とどのつまり「仮想化」という単語を「抽象化」に置き換えたら、なんのことはない、情報の強制的な管理機能を持つアーキテクチャのことです。そう、何十年も前から研究され標準化され、調達基準になっていたりするお話のこ…
確かに、延々と「どこにでも入れる復号済みの鍵」を握りっぱなしなのは怖いよね。というわけで、 ssh-add='ssh-add -t 86400'ではだめかなぁ。
メモ書き: とりあえず前提として、現状で3を達成する脆弱性としてCSSXSSが存在する(という理解は正しい?) 脆弱性3: 「cookieは漏れないが、HTMLテキスト(hiddenパラメタを含む)は漏れる脆弱性」 CSRFとセッションジャックの違いとして、はてな等のような…
反応に反応を重ねるうち、どんどん論点が見えなくなってしまっているような気がします。重要なことはこのあたりかな。 処理内容を理解し、その入力と出力が何であるべきかを理解する。 処理内容が多岐にわたる以上、アプリケーションの入り口での一括処理*1…
高木浩光さんのところで以前から盛りあがっている「サニタイズ言うなキャンペーン」に密かに賛同しているのですが、やはり入力段階でHTML実体参照への書換処理をやっているCGIが多く存在していた事が、「サニタイズは入力段でやるべきもの」という誤解を助長…
個人的には、ありえないと思うのですがどうでしょう。 オレオレ証明書がこれだけ実際に利用されてしまっている現状、SSLゲートウェイだけではオレオレ証明書でも構わないサイトなのか、それともVerisign発行の証明書じゃないと嫌なサイトなのか区別できない…