トップ «前の日記(2008/07/30(Wed)) 最新 次の日記(2008/08/01(Fri))» 編集

糸の切れた(たこ) ( a threadless kite )

ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。



2008/07/31(Thu) 木曜日ー。(このままじゃ、終わるわけない〜♪

[セキュリティ] Cookieを利用したセッション維持(Sticky)の問題点 (ITPro)

にわかには信じられない。 すべてのタブ/すべてのサイトを合算して、“わずか4〜5KBしかないCookieサイズを1つのブラウザで共有” しているというのは考えにくい。 葉っぱさんが検証してくれるらしい。 「1つのドメインに対して20個まで」という数の制限や、「それぞれの Cookie は 4,096バイト以内(Set-Cookie: の行は 5,118バイト以内)」といったサイズの制限が原因なのでは?(@_@)

  • 「根本的な解決方法」として「URLを利用したセッション維持方法に変える」ことが挙げられているが、Referer: で漏えいしてなりすまし!とか考えたことはあるだろうか...
    • 複数台の Webサーバ(IIS) で負荷分散しているサイトで、セッション管理は独自の Cookie を使用しているのに、ASPSESSIONID〜〜も発行されていて、負荷分散先が変わるたびに Cookie が増えていく素敵なサイトを見たことがありますw あれ、20個超えるだろうなぁ。
      • (セッションオブジェクトではなく、) Cookie に情報をそのまま突っ込みすぎて、サイズが 4,096バイトを超えちゃった♪という話だったら、もう呆れるしかw

      関連: Internet Explorer increases the per-domain cookie limit from 20 to 50 (Microsoft)

      [セキュリティ] 緊急点検!Webアプリ・セキュリティ(前編) (日経BP)

      どこかで見た文章だと思ったら、2005年の「日経システム構築」の記事なのね。 すでに、“続・「サニタイズ言うなキャンペーン」とは” の時に高木先生が「点検」済みですw >後で点検する

      [セキュリティ] javascript://のXSS (T.Teradaの日記)

      Firefox では、JavaScriptコード内の U+2028 や U+2029 を改行文字として認識するそうです。 このため、HTML のエンコードが UTF-8 であれば、「<a href="javascript://hoge[0xE2][0x80][0xA8]alert(111)">link</a>」(もし「&」がエスケープされていなければ、「&#x2028;」も可?)という形式でも javascriptスキーマでのスクリプト実行が出来るらしい。 「^https?://」みたいな感じではなく、プロトコルの直後に「://」が続いているかどうか(「^[a-z]{3,7}://」)で判断しているようなサイトは危ないと。

      [セキュリティ] PHPによる大規模商用サービスの裏側 (@IT)

      ぐるなび、楽天、サイボウズにおけるPHP開発事例の裏側@PHPカンファレンス2008。