Faved by Hiroshi
tsupo | Shared With: Everyone - Apr 03 2006 | CSRF, security, imported:del.icio.us「開発者のための正しいCSRF対策」を受けて「用語「CSRF (http://bakera.jp/hatomaru.aspx/glossary/0043005300520046)」が改定されたとのこと。
- tsupo | Shared With: Everyone - Aug 04 2008 | security, XSS, CSRF, Internet, summarySite
どんな仕組みかまだ見てないんだけど2chのCSRFの方がやばくない? → そうそう、これ、すごいやばいと思う
- tsupo | Shared With: Everyone - Feb 05 2008 | security, CSRF, openID, authentication, Internet, summarySite
OpenIDのようなSSO (Single Sign On)システムが脆弱だとそれを利用しているシステム全体が危険にさらされます / 認証情報を共有しているとサイトが危ないと言うことです
ShareViewed: 2 Times - tsupo | Shared With: Everyone - Apr 10 2006 | security, CSRF, sessionHighjack, imported:del.icio.usShareViewed: 1 Time
- tsupo | Shared With: Everyone - Apr 03 2006 | CSRF, CSSXSS, security, imported:del.icio.us
CSSXSSに関する説明に誤り(脅威を過剰に表現している部分)がありましたので、加筆訂正しています、とのこと
ShareViewed: 2 Times - tsupo | Shared With: Everyone - Apr 03 2006 | CSRF, security, CSSXSS, imported:del.icio.us
IE6の実装バグに起因する挙動なんで、性質を推定してもそれが本当に正しいのかは観察の積み上げというレベルでしかわからない
ShareViewed: 1 Time - tsupo | Shared With: Everyone - Apr 03 2006 | CSRF, security, imported:del.icio.us
- tsupo | Shared With: Everyone - Apr 01 2006 | CSSXSS, CSRF, security, IE, imported:del.icio.us
内部的にはすべてPOSTアクセスが行われるが、一般ユーザーレベルの使い勝手はリンク(a href)をクリックするのと変わらないような仕組みを、JavaScriptを駆使して実現することは可能
- tsupo | Shared With: Everyone - Mar 30 2006 | CSRF, security, WebApplication, imported:del.icio.us
誤った対策その1: セッションIDをトークンとして使う/高木氏によって考案されたのち、多くのウェブサイトや書籍などで紹介されるようになった方法/この方法は「ブラウザに脆弱性がな
ShareViewed: 3 Times - tsupo | Shared With: Everyone - Feb 08 2006 | hatenaDiary, security, CSSXSS, CSRF, XSS, imported:del.icio.us
悪質な(本来警戒すべき)XSSによる攻撃は、認証情報を盗み、認証情報で保護されたはずの情報を盗み、認証情報で保護されたはずの機能を利用し、利用者にはそのようなことが起こってい
Send Hiroshi a friend request or a personal message instead.