2013/03/01(金)金曜日ー。(壇上の方々はやっぱりスゴイなぁと思った。)
[セキュリティ] IEと、地域型JPドメイン名と、クッキーモンスターバグ。徳丸さんの、『* クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される
』という記事を読んで、ふと思いついた、地域型JPドメイン名/都道府県型JPドメイン名のサイトで、IEが使われても、クッキーモンスターバグの影響を受けずにセッションが維持できる(かも知れない)方法のコンセプトコード(ただの思いつき)を書いてみました。 自分のtokumaru.bunkyo.tokyo.jpを守るために、bunkyo.tokyo.jpと、tokyo.jpドメインのCookieをこちらから発行してしまえ!という乱暴なアイディアです。 あくまでもジャストアイディアで実用的ではないかもですが、思考実験としてどうでしょう。>* mySession_start.php/image/mySession_start-php.txt
、 * form.php/image/form-php.txt
、 * post.php/image/post-php.txt
**[追記]** * こちらに修正版を置きました。/d/?date=20130302#p01
[雑談] いろいろ。
/ * TwitterのOAuthの問題まとめ (mala)
←え、IPA?!
』という記事を読んで、ふと思いついた、地域型JPドメイン名/都道府県型JPドメイン名のサイトで、IEが使われても、クッキーモンスターバグの影響を受けずにセッションが維持できる(かも知れない)方法のコンセプトコード(ただの思いつき)を書いてみました。 自分のtokumaru.bunkyo.tokyo.jpを守るために、bunkyo.tokyo.jpと、tokyo.jpドメインのCookieをこちらから発行してしまえ!という乱暴なアイディアです。 あくまでもジャストアイディアで実用的ではないかもですが、思考実験としてどうでしょう。>* mySession_start.php/image/mySession_start-php.txt
、 * form.php/image/form-php.txt
、 * post.php/image/post-php.txt
**[追記]** * こちらに修正版を置きました。/d/?date=20130302#p01
[雑談] いろいろ。
- オリジンのはなし (はせがわようすけ)
- 特定のクライアントを許可している Twitter ユーザーの Token Credentials を入手する攻撃 (ひだまりソケットは壊れない)
/ * TwitterのOAuthの問題まとめ (mala)
- クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される (徳丸さん)
- “誤認逮捕”を防ぐ [5] 暗号化の“皮”を重ねて匿名性を確保する「Tor」 (ITpro)
- 遠隔操作ウイルス事件の片山容疑者、ハイジャック防止法違反で立件へ (はちま起稿)
- 『遠隔操作真犯人』と『のまねこ』事件の犯行予告の類似点 (satoru.netの自由帳)
- 標的型メール、入社希望者や告発者を自然に装う手口“やりとり型”登場 (impress)
- 「ジョブセンス」でユーザー情報の閲覧が可能な状態に 最大約2100人分 (ITmedia)
- 連載マンガ レイとランのスマホ事情 (I ♥ スマホ生活)
←え、IPA?!
- Yet Another Java Zero-Day (blog.fireeye.com)
- iPhone用2chブラウザがApp Storeから消える? (ITmedia ニュース)
- ユーザーの反応に「完全に狼狽した」 はてなブックマーク、リニューアルの意図と背景
- TBS「とんび」で騒動、録画失敗でシャープに苦情も 食い違う見解 (ITmedia)
- 高校生のころにしておけばよかったと後悔している恋愛のあれこれ9パターン (オトメスゴレン)