フォームにランダムで一意なIDを割り当てる方式も十分簡単だと思いますがREFERERでCSRF対策を行っているサイトが結構あるようですね... FlashでREFERERが書き換えられる問題は別次元の問題だとしても、REFERER自体ブラウザが送信するデータであるため元々信頼できるデータでは無いです。随分前からクライアントレベルのセキュリティ対策ソフトウェア…

PHP 5.2.0のsetcookie/setrawcookie関数からhttpOnly属性をクッキーにつける事ができるようになりました。httpOnly属性はMicrosoftが独自に拡張した仕様で、JavaScriptからクッキーの値を使用できなくする機能です。httpsでのみクッキーを送信するsecure属性に似ています。 Microsoftの独自拡張…

リンクをクリックするとデモが見れます。久しぶりにZendFrameworkのホームページを見てこのデモがある事に気が付きました。 IBMの方がZendFrameworkを利用して作っているらしいです。AJAXはもちろんですが、Wikiコマンドと言うシンプルな言語でいろいろ拡張できるようになっている様です。ドラッグアンドドロップで設定するGoogleマップと天…

このブログでZend Frameworkの事はほとんど書いていませんが、セキュリティ関係のところを少しだけ書きます。 Zend Frameworkはまだまだ作りかけ、と開発元が言っているだけあって、セキュリティに関係する部分も作りかけだったりします。 例えば、mysqliアダプタは適切にエスケープ処理されていますが、Oracleアダプタのエスケープ処理は全く…

IBMが更にDojoを支援するらしいです。 Dojo Toolkit enabling internationalization of applications and making them fully accessible to persons with disabilities through a variety of assistive techno…

随分前からXAMPP（ザンプ、と読むらしい。間違っていたら教えてください。）は知っていたのですが使ったことがありませんでした。基本的な開発環境はLinux、ターゲットもLinuxなので特に必要性が無かったからです。最近は時間や場所の都合からもWindows環境でもある程度の開発環境を維持する必要があったため、XAMPPを入れてみました。インストールするにあた…

PHP 4.4.3RC1がテスト中です。 PHP 4を使われている方、テストをお勧めします。

問題：まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考：自動ログイン以外に2要素認…

問題：以下のコードはセキュリティ上大きな問題となる脆弱な処理が含まれています。セキュリティ上のベストプラクティス、他の自動ログインの実装方法と比較し、以下のコードの脆弱性を詳しく述べよ。 if (serendipity_authenticate_author( $serendipity['POST']['user'], $serendipity['POST'…

体調を崩している間にPHP 5.1.3がリリースされRC2以降に紛れ込んだ$_POST要素が配列である場合のバグ、FCGIのバグ等の為、PHP 5.1.4が直ぐにリリースされていますが、PHP 5.1.2から直った脆弱性は次の通りです。一部フライングで公開されていた物もあります。 # CVSのコミットログなどをチェックしている人にはもっと前から公開 # され…