[B! Security] p_chopinのブックマーク
iPhoneはとても便利で今や手放せないデバイスですよね。 ただ、依存度が上がれば上がるほど、セキュリティリスクが高くなります。 iPhoneの大きな問題の一つに、ログイン認証のパスワードが 数字4桁であることです。人に見えないように隠しながら打てばいいのですが 無防備にパスワードを打ってる方を良く見かけます。 もしその4桁の数字が銀行のキャッシュカードのパスワードと同じだったりすれば それはお金を引き出せる情報を一般公開しているのと同じです。 EC studioではiPhoneを全員に支給していますので、このパスワード問題は 情報漏洩リスクにもつながります。 そこでEC studioでは全スタッフのiPhoneパスワードは英字を含めた 5桁以上のパスワードへ強化するように対策しています。 ——————————————————————— Appleの製品は実はこんな機能があったんだというこ
携帯電話向けWebアプリケーションのセッション管理手法 - ockeghem's blog
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのかに、高木浩光氏が携帯電話向けWebアプリケーションの安全性についてコメントされておられる。 なぜ「URLにセッションIDが含まれる場合はセキュリティに注意する必要があり」なのかと言えば、Refererによってリンク先にセッションID入りのURLが流出し、流出先サイトの人にセッションハイジャックされてしまうからだ。 確かにそうなのだが、携帯電話向けWebアプリケーションでは、セッションIDをURLに埋め込むことが定石として用いられている。 その理由は、他に適当な方法がないからである。 携帯電話向けWebの代表例であるi-modeでは、Cookieをサポートしていない。そのため、セッションIDを埋められる場所というと、 URLに埋め込む Hiddenフィールドに埋め込んでPOSTで送出する くらいしか代替手段がな
hetimaの日記 - CakePHP のセッションまわりをカスタマイズする
CAKE_SESSION_SAVE を cake, database, php 以外の値にすると、独自のセッション処理を定義できるようです。 define('CAKE_SESSION_SAVE', 'my_session_init'); そして、CAKE_SESSION_SAVE の値 +.php という名前のファイルを /app/config 内に設置します。 /app/config/my_session_init.php その中に初期化するコードを書きます。このファイルが CakeSession クラスの __initSession() メソッド内で require_once されます(/cake/libs/session.php)。 そのため、my_session_init.php 内において $this は CakeSession クラスを指しています(実際には CakeSessi
猛省:PHPのセッション有効期限とGC - KoshigoeBLOG
恥ずかしさのあまり、穴を掘ってでも穴に入りたい気分です。 PHPのセッションは、session.gc_maxlifetimeに従ってGCされますが、このsession.gc_maxlifetimeが適用される範囲がsession.save_pathだという事を見落としていました。session.gc_maxlifetimeを変える場合は知っていなければならない事ですが、どうやら勝手に勘違いして自分に都合の良い解釈をしてしまっていたようです。本当に恥ずかしいです。 注意: 異なる値を session.gc_maxlifetime に指定している 別々のスクリプトがセッションデータの保存場所を共有している場合、 一番小さい設定値に達した時点でデータが消去されます。このような場合には、 お互いに session.save_path を使用します。 注意: デフォルトのファイルに基づくセッションハ
iモードIDとutn(端末情報)との違い - maru.cc@はてな
「DoCoMoのiモードIDについて - maru.cc@はてな」でも書いたとおり、DoCoMoでiモードIDという、契約者を識別するIDを勝手サイトでも使用することが出来るようになった。 元々、iモードIDが使える前にも、utnと言われる端末情報やFOMAカードの番号を取得する方法はあったが、それとはまったく意味が違うことになる。 iモードIDの仕様については、SSLで送ってこないとか、formのpost時の要求方法が変だとか、セキュリティ的にどうかとういのはもちろんあるし、SSLで使えないくせにCookieベースのセッションが使えないとか、不満はいろいろあるが、それでも使えるようになったことで意義があると思う。 そもそものutnとiモードIDとの違い ■utn(端末情報) mova端末の場合には、端末製造番号 FOMa端末の場合には、FOMAカードの番号と端末製造番号 が、それぞれ送ら
Flash Lite1.1とPHPセッションの連携 | Shin x blog
Flash Lite1.1では起動時にSWFに値を渡す方法(URLパラメータやparamタグ)が使えないようなので、SWFにセッションIDを渡すことができません。 そのためloadVariable()等でサーバと通信できても、セッションが特定できないので、ユーザを識別するようなアプリケーション(ゲームや会員向けサイト等)には使えませんでした。 そこでSWFにセッションIDが渡せないならばと、URLにセッションIDを含める方法を考えました。 つまり <a href="/path/to/hoge.swf?PHPSESSID=phpsessid">SWF</a> を <a href="/path/to/phpsessid/hoge.swf">SWF</a> とするわけです。 ファイル構成 以下のようなファイル構成を想定しています。 [/path/to] + .htaccess + user.sw
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.res-system.com/weblog/item/619