Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

2014年5月7日のブックマーク (9件)

  • 事務局ブログ:「Covert Redirect」についての John Bradley 氏の解説(追記あり)

    追記 (5/7 20:30): 文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と

  • TwitterのOAuthの問題まとめ

    You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

    TwitterのOAuthの問題まとめ
    noonworks
    noonworks 2014/05/07
    “「怪しいリンクをクリックするな」というのは無茶なので、そういった対策が必要なものはバグです、セキュリティホールです。怪しいリンクをクリックできない世界のほうが間違っている。”
  • 「OAuth 2.0 (Implicit Flow) でログイン」の被害例 - OAuth.jp

    。登場人物 OAuth 2.0対応してる某ゲームプラットフォーム 某ゲームプラットフォーム上で占いゲームを運営してる攻撃者 某ゲームプラットフォーム上で運営されてる農園ゲーム(= 被害アプリ) 某ゲームプラットフォーム上で無邪気に遊んでる被害ユーザ ※ 念のため、今回の話は特にゲームに限った話ではない。 前提 某ゲームプラットフォーム、農園ゲーム共に、XSS とか CSRF とかセッションハイジャックされるような脆弱性はない。 農園ゲームはプラットフォームが発行するAccess TokenをOAuth 2.0のImplicit Flowを使って受け取り、同じくプラットフォームが提供するProfile API (GET /me とか) にアクセスして、レスポンスに含まれる user_id をもとにユーザを認証している。 攻撃者は占いゲームDBから任意のAccess Tokenを取得可能。

  • 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

    In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A

    単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
  • ノンデザイナーズ・デザインブック [フルカラー新装増補版]

    ノンデザイナーズ・デザインブック [フルカラー新装増補版] Robin Williams, 吉川 典秀(翻訳) マイナビ出版 2,200円 (2,000円+税) 販売終了 「デザインを正式には学んだことがないけれども、デザインする必要がある」「プロデザイナーでなくったって、かっこいいデザインをしたい!」そういう人のための、レイアウトデザインの基書です。 関連サイト書の関連ページが用意されています。 ノンデザイナーズ・デザインブック [フルカラー新装増補版]|マイナビブックス内容紹介プロデザイナーでなくったって、かっこいいデザインをしたい! そういう人のためのレイアウトデザインのバイブル『ノンデザイナーズ・デザインブック[フルカラー新装増補版]』が遂に電子化! ●書の読者対象書は、デザインを正式には学んだことがないけれども、デザインする必要がある人たちのために書かれています。おしゃれ

    ノンデザイナーズ・デザインブック [フルカラー新装増補版]
  • Martin Fowler's Bliki in Japanese - ユニットテスト

    http://martinfowler.com/bliki/UnitTest.html 2014/5/5 ソフトウェア開発において、ユニットテスティングの話題になることが多い。私がプログラムを書きはじめて以来ずっと、ユニットテスティングという言葉はおなじみだった。 しかし、ソフトウェア開発用語の常として、ユニットテスティングという用語もきちんと定義できていない。 ユニットテスティングという用語の意味を実際よりも厳密にとらえてしまったせいで、混乱してしまっている人もよく見かける。 もちろんそれ以前からもユニットテスティングはやってきていたのだが、それを人前で公表したのは、Kent Beckと仕事をして Xunit系のツールを使い始めたころのことだった (この種のテストのことは、ユニットテスティングっていうより「xunitテスティング」って呼んだほうがいいと思うんだ)。 ユニットテスティングは

    Martin Fowler's Bliki in Japanese - ユニットテスト
  • いきいき電源タップ 40%OFF | オーディオアクセサリー,電源タップ・ケーブル | オプティマルライフ・アクセサリーおもしろ通販

    10個限定 40%OFF いきいき電源タップ 5,000円(税別価格) 一見どこにでもあるごく普通の3口タップですが、いきいき電源タップはこれを繋ぐだけで使用される電気製品から発生する電磁波の質を改善する電源タップです。独自技術により、電気エネルギーの質を生物の生長方向に改善し、結果電気製品使用時に発生する電磁波ノイズを生物の生長を邪魔しない方向にすることに成功しました。 お使いになられた方からは、破壊的で荒々しい電気の波動が優しくなった、ドライヤーで髪を乾かすとしっとりする、電子レンジなどの電気調理器で調理した品の味が良くなった・美味しくなった、などの報告をいただいています。 ※家電製品の電源を取っていただく時、延長コードだと線が邪魔になるのであえてこの形を採用しました。 AC100V用差込み口:3口 セミナーではコンビニの白ご飯を買って来て、ひとつはレンジでそのまま暖め、もうひとつは

    いきいき電源タップ 40%OFF | オーディオアクセサリー,電源タップ・ケーブル | オプティマルライフ・アクセサリーおもしろ通販
    noonworks
    noonworks 2014/05/07
    価格もよくわかんない > 価格 : 5,400円 (税込 400円) “破壊的で荒々しい電気の波動が優しくなった”
  • TDDは死んだ。テスティングよ栄えよ。 by DHH | 2014-04-24 - やっとむでぽん

    DHHの"TDD is dead. Long live testing."を、訳してみました。 翻訳 やっとむ By David Heinemeier Hansson on April 23, 2014 著 David Heinemeier Hansson 2014年4月23日 Test-first fundamentalism is like abstinence-only sex ed: An unrealistic, ineffective morality campaign for self-loathing and shaming. テストファースト原理主義は禁欲のみを唱えた性教育のようなものだ。つまり、自己嫌悪に陥っている人に向けた、非現実的で効果のない、道徳教育のようなものだ。 It didn't start out like that. When I first disco

    TDDは死んだ。テスティングよ栄えよ。 by DHH | 2014-04-24 - やっとむでぽん
  • TDDという名の幻想... - Qiita

    Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? TDDは死んだ。テスティングよ栄えよ。 by DHH http://d.hatena.ne.jp/yach/20140424#p1 【翻訳】TDD is Fun http://diskogs.hatenablog.com/entry/2014/04/25/085112 を読んで思ったことをつらつらと書いてみます。 TDDはできれば、やったほうが良いのは確か?です。 しかし、実際の開発現場で全面的に採用するのは ミドルウェア等の画面の存在しないソフトの開発以外では ほとんどの場合、無益です。 なぜなら、TDDを採用すると開発時間が膨らむ、

    TDDという名の幻想... - Qiita
    noonworks
    noonworks 2014/05/07
    「仕様書と同様にテストは最初から完璧なものを書かねばならぬ」と考えてる人と「コードと同様にテストも最初から完璧に書くのは無理だから見直しながらやってく」と考えてる人がいるように感じる