Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

2012年5月28日のブックマーク (3件)

  • CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!

    こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対

    CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!
    AmaiSaeta
    AmaiSaeta 2012/05/28
    "「違うアカウントで、大事なメールを送信」、「違うアカウントで、秘密の写真をアップロード」 " | (ふと思ったんだが、「CSRFで強制ログイン」が出来るのならば、「CSRFで強制アカウント作成」も出来るんかな……)
  • Cat works on printer

    AmaiSaeta
    AmaiSaeta 2012/05/28
    ああああああああああ!やーめーてー!!!
  • ミステリとして食う「ハムレット」

    「死ぬまでに読みたい」シリーズ。有名すぎる復讐劇だが、これをミステリとして読むと、緊迫した心理戦になる。 WhodoneitやHowdoneitは隠しようもなく描かれてしまっているから、Whydoneitを考えなおす。台詞の表層を裏読みし、一貫した別の動機をあぶりだす。ポイントはここ→「父の亡霊を信じたか/信じなかったか」この二択のどちらを選ぶかによって、王子ハムレットの台詞が、まるで違う様相を帯びる。「善いも悪いも、考えひとつ」と、価値観の相対性をうそぶくハムレット自身に、同じ相対性をつきつけるのだ。 もちろん流して読めば、父の亡霊から陰謀を知り、復讐に燃えるハムレットの葛藤の話になる。だが、二度読みされる方は、「亡霊を信じない」ハムレットという目で見るがいい。 すると、彼の葛藤は、母を奪った叔父への嫉妬が生んだ幻想になる。父の葬式と母の結婚式という、受け入れがたい現実を説明する物語の語

    ミステリとして食う「ハムレット」