忘れたころに追記 API で _twitter_sess は発行されているようですが、web の UI にアクセスはできなくなったみたいです(つまり豪快さは解消されてます) OAuth コンシューマが twitter API にアクセスすると、ブラウザでログインしたときと同様のセッションクッキーが発行されている模様です GET https://twitter.com/account/verify_credentials.xml Authorization: OAuth realm="", oauth_consumer_key="***", oauth_nonce="***", oauth_signature="***", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1253358338", oauth_token="***",
なぜPHPアプリにセキュリティホールが多いのか?:第25回 PHPのアキレス腱にて、大垣靖男氏がPHPのSession Adoption問題について取り上げている。大垣氏は度々この問題を取り上げているが、今のところ氏の主張に同調する人を見かけない。それもそのはずで、大垣氏の主張は間違っていると私は思う。 以下、大垣氏の主張を実際に試してみる形で、順に説明しよう。 大垣氏の主張 大垣氏の主張は、PHPにはSession Adoption脆弱性があるために、標準的なSession Fixation対策であるsession_regenerate_id()を施しても、その対策は有効ではないというものだ。 しかし,実際には現在に至るまでPHPのセッションモジュールのセッションアダプション脆弱性は修正されないままになっています。このために,本来はsession_regenerate_id関数をログイン
COOKIEを送らないことで有名なi-mode端末の最新機種がCOOKIEを送っていることがわかった。 現時点でCOOKIEを送ってくることを確認している端末は以下の通り。 いずれもIPアドレス帯域は、210.153.84.**で、iモードセンタのIPアドレス帯域内のもの。 DoCoMo/2.0 P07A(c500;TB;W24H15) ※ちなみに送られてきたHTTP環境変数は以下の通り。 HTTP_COOKIE HTTP_HOST HTTP_REFERER HTTP_USER_AGENT HTTP_X_DCMGUID 【関連記事】 i-mode端末にリファラ(2009-04-28) 【2009/05/20 追記】 ドコモ公式発表 - iモードブラウザ2.0
PHPにはHTTPセッション管理モジュールが標準で付いてきます。このセッションモジュールには非常に重大なセキュリティ上の脆弱性が修正されずに残っています。その脆弱性とはセッションアダプションです。 セッションアダプションとは、セッション固定化攻撃に利用される脆弱性です。PHPのセッション管理モジュールがセッションアダプションに脆弱であることは、かなり以前、何年も前から知られています。しかし、開発者の理解不足より脆弱性が放置されたままになっています。 セッションアダプションとは セッションアダプションとは、ブラウザ等から送信された未初期化セッションIDをそのまま利用してセッションを初期化してしまう脆弱性です。ユーザが送信してきたIDでも第三者に予想できない文字列であれば大丈夫なのでは?と考える方もいると思います。その通りで第三者に予想できなければ問題ないですし、仮に予想できてもログインする際
Firefox3で「サードパーティのCookieも保存する」をオフにする。 防げる。 いずれのブラウザにもサードパーティ製のcookieを制限するオプションがあるが、Firefox3以外だと、フレーム内表示された場合に「新規にcookieを保存しない」だけで保存済みのcookieは送信してしまう。 軽く調べてみたところ、次のようになった。(間違ってたら教えてください) サードパーティのcookieの新規保存 サードパーティの保存済みcookieの送信 表示中のドメインのcookieの保存/送信 IE6,7,8(デフォルト) x o o IE6,7,8(セキュリティ高) x x x Opera9.6(デフォルト) o o o Opera9.6(制限) x △ o Safari(制限/デフォルト) x o o Safari(全て受け入れる) o o o Firefox2(デフォルト) o o
フォーム認証とは 2008年も暮れようかという現在、Webアプリを作る際に「そうだBasic認証を使おう」と思う人はほとんどいないでしょう。ユーザIDとパスワードを入力するログインフォームを用意し、セッションIDをcookieに保存する方法を選ぶのが定石だと思います。ユーザIDとパスワードの代わりにOpenIDを受け入れる方法も考えられますが、セッションIDをcookieに保存するという意味では、先の例と違いはありません。この「セッションIDをcookieに保存する方法」のことを、以下「フォーム認証」と呼ぶことにします。 Basic認証が使われない理由 なぜフォーム認証が選ばれるのか。逆にいうならば、なぜBasic認証*1が選ばれないのか。産業技術総合研究所の情報セキュリティ研究センターでは、Basic認証が使われない理由を下記のようにまとめています。 ログアウト機能がないこと ログインせ
Posted by nene2001 at 14:55 / Tag(Edit): mobile cookie session / 0 Comments: Post / View / 0 TrackBack / Google Maps 携帯電話のCookie周りについて考えてたら、色々まとまらなくなったので、タイトルあいまいで全部ここに書く。 恥ずかしながら携帯Cookie初心者です。 なので、それおかしいよ、とか、或いはとっくに常識だよ、的なこと書くかもしれませんが、ご容赦のほど。 取っ掛かり:DoCoMoのiモードIDについて これまで、DoCoMoがCookie使えないのを理由として、かつキャリア毎に大きく認証処理変えてたら開発が煩雑だよね、という理由で、3キャリア携帯の端末や個人識別IDをログイン手段として用いて、WILLCOMとか識別IDを出さない仕様の方を、Co
Cookieの値にSQLインジェクションが含まれていますが、注目すべきポイントはCookieに含まれているその形式です。URLの“/index.asp”の後に続くべきパラメータがそのままCookieに含まれています。ASPのRequestオブジェクト(ASP.NETの場合、HttpRequest.Params)を使っている場合、クエリ文字列やフォーム以外からでもデータを読み込めます。もしRequestオブジェクトから読み込んだデータの取り扱いにSQLインジェクションの脆弱(ぜいじゃく)性がある場合、データベースを操作されてしまいます。 IIS/ASPの機能を悪用 今回の攻撃手法のもう1つの特徴は攻撃のリクエストに“%”を含ませることでセキュリティ機器の検知機能の回避を狙っていることです。%文字を含んだSQLインジェクションは以下のようなリクエストになっています。 色を付けた「DE%CLAR
本当に「第三者cookieは使われなくなりつつある」のだろうかと思い確認してみた。 現時点で日本で比較的多く使用されていると思われるブラウザとしてInternet Explorer7とFirefox3の最新バージョンを使用した。ブラウザの設定はインストール後のデフォルト状態とした。OSはWindows XP SP3である。 まずブラウザに保存されているcookieをクリアし以下のページにアクセスをしてみる。 行動ターゲティング広告はどこまで許されるのか(高木浩光, 2008/10/16, NikkeiNet IT+PLUS) http://it.nikkei.co.jp/internet/news/index.aspx?n=MMITbe000015102008&cp=1 そしてブラウザの機能あるいは直接フォルダを開いて保存されたcookieを確認する。 上記のページの場合IE7を使用したア
あるセキュリティ研究者が、公開を計画しているエクスプロイトについてGoogleと議論を続けてきた。このエクスプロイトは、セキュアだと言われているウェブサイトとの通信をセキュリティの施されていないWi-Fiネットワークで行った際、ハッカーが容易にこの通信を傍受可能にする恐れがある。FacebookやYahoo Mail、Hotmailなどのサイトはいまだ脆弱だという。 Riverbed Technologyでリバースエンジニアリングと開発を担当しているMike Perry氏は1年前、ウェブサイトがSecure Sockets Layer(SSL)プロトコルを実装する方法に共通の脆弱性があることをBugTraqメーリングリストで発表した。SSLプロトコルはウェブ閲覧時のデータを守るための仕組み。同氏によると、多くのウェブサイトでは、SSLを使ってデータを暗号化しているのはログインの段階でだけだ
平素より「PHPプロ!」をご愛顧いただき、誠にありがとうございます。 2006年より運営してまいりました「PHPプロ!」ですが、サービスの利用状況を鑑みまして、2018年9月25日(火曜日)をもちましてサービスを終了させていただくことになりました。 サービス終了に伴いまして、2018年8月28日(火曜日)を持ちまして、新規会員登録ならびにQ&A掲示板への新たな質問、回答の投稿を停止させていただきます。 なお、ご登録いただいた皆様の個人情報につきましては、サービス終了後、弊社が責任をもって消去いたします。 これまで多くの皆様にご利用をいただきまして、誠にありがとうございました。 サービス終了に伴い、皆様にはご不便をおかけいたしますこと、心よりお詫び申し上げます。 本件に関するお問い合わせはこちらよりお願いいたします。
Webサイトを作る側にとって,インターネットとiモードで決定的な違いがあるのをご存知だろうか。実は,iモード(NTTドコモ)ではCookieが使えない。このため,iモード向けのWebアプリは,インターネットでは当然の,Cookieによるセッション管理ができないのだ。 iモードは「危険」とされるURLでセッションを管理 Cookieによるセッション管理を簡単に説明しておこう。もともとWebアクセスに使うアプリケーション・プロトコルには「セッション」という概念がない。このため,インターネット向けのWebアプリは,WebサイトからWebブラウザにセッション情報を渡し,次回以降のアクセスではWebブラウザからWebサイトへセッション情報を送ってもらう。こうして,一連のWebアクセスを関連付ける。そのために今どきのWebアプリが使うのが,Cookieという名の短いテキスト・データだ。WebサイトはW
ひっそりとリリースされ、さほど話題にやっていないYahooログールですが、これは結構いけてる、かつ破壊的なサービスです。 名称もデザインもパクリっぽくて、わざとサブマリンしようとしているのかとも思えます。 Yahoo!ログール via kwout 何がすごいのかというのを少しだけ。 まずは、一つ考えて欲しいことがあります。 「あなたは、日本中で最近1週間に使われたブラウザが持っているCookieを全部閲覧できるとします。いったい、どのドメインのCookieが一番多いでしょうか?」 答え。多分Yahoo(*.yahoo.co.jp)のCookieです。 ここまで書けば勘のいい人なら分かってしまうと思いますが、Yahooログールの最大の強みはこの「発行数が最も多いCookieを自由自在に読める」ということです。 例えば、 AさんのブログにYahooログールを導入したとします。 そのAさんのブロ
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
McAfee Avert Labs Blog 「Click-fraud, captchas & session-fixation puzzles」より September 24, 2007 Posted by Vinay Mahadik 筆者はパズルが大好きだ。ここでは,筆者が自らの「Webサイト」上で遭遇,解決した,セキュリティに関するパズルを取り上げる。 クリック詐欺の阻止 問題の内容は次の通りだ。Web 2.0的な投票制Webサイトに,ユーザーの投稿したコンテンツが掲載されている。投稿者はサイト訪問者にコンテンツを評価してもらうと,ランキング上位に躍り出る。ここで,このWebサイトがログインを強制せず,未登録ユーザーがログインすることなくコンテンツを評価できる場合,サイトはクリック詐欺に対して無防備な状態となり,コンテンツ投稿者が自分のコンテンツを高く評価し続ける可能性がある。一方,
他人のログインした状態が他の端末で表示されてしまう問題が出ているそうです。 不具合!?これって、まずくない?!?!セキュリティ上まずいですねぇ。 オートログインの問題かな。→ 【楽天市場】ヘルプ 先日社内の方に言われて気がついたんですが、どうやら楽天のサイトにログインしているユーザーの情報が残ってしまっていて、別の端末から楽天のサイトを見に行くと既に別ユーザーとしてログインされている状態が保持されているという怪奇現象が発生しました そんな問題ではない気がする・・・ なんとも気持ち悪い感じですが、はっきり言えるのは、自分が利用しない時はログイン必要なWebページからは全てログアウトすべきって事ですねぇ。 id:TAKESAKOさんにブックマークでコメント貰いました。URIに?をノーキャッシュとかって基本じゃないんだw Squidであれば、?とcgi-binはたしかノーキャッシュだった気がする
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Blogger