セキュリティ

CSRF脆弱性対策

CSRF対策のtokenはセッションIDで良い セキュリティ的にワンタイムトークン>セッションIDではない。 という話が、この辺の記事に書かれています。 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 高木浩光@自宅の日記…

昨日騒ぎになったTwitterのXSS脆弱性によって実際に受けそうな被害とその対策

何が出来るのか どんな脆弱性かの詳細はこちらを参照2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について 外部JavaScriptを読み込むコードを仕込めたので、 どんなJavaScriptでも実行できる状態でした。 以下、JavaScriptの実行によってTwitter上で出…

サニタイGIF敗れたり?

LL魂の感想の続きで、竹迫良範さんのサニタイGIF↓凄いなあ、 LL魂お疲れ様でした[LLSpirit] | TAKESAKO @ Yet another Cybozu Labs みたいな事を書こうと思っていたら、あっさり破る方法が↓登場。 http://www.tokumaru.org/d/20070807.html とりあえずの対処…