やぁ、みんな,元気?とくまるひろしです。今日はSession Fixation攻撃の方法をこっそり教えちゃうよ。 いつもは防御側で漢字の名前でやってるんだけど,きょうは攻撃側ということで,名乗りもひらがなに変えたんだ。だってさ,今度デブサミでご一緒するはせがわようすけさんとか,はまちちゃんとか,ひらがなの人たちの方が格好良さそうじゃないか。
やぁ、みんな,元気?とくまるひろしです。今日はSession Fixation攻撃の方法をこっそり教えちゃうよ。 いつもは防御側で漢字の名前でやってるんだけど,きょうは攻撃側ということで,名乗りもひらがなに変えたんだ。だってさ,今度デブサミでご一緒するはせがわようすけさんとか,はまちちゃんとか,ひらがなの人たちの方が格好良さそうじゃないか。
I try to implement a shopping cart. I store session_id in a database, and related products which are on a shopping cart. After signing in I would like to have the same session and be able to connects these products with user by accessing session_id. But session_id seem to be different after logging in. How can I prevent from this behaviour (I believe Warden do this), or if it's wrong, how should I
Railsはprotect_from_forgeryって書くだけでCSRF対策が有効になってマジ便利なわけだけど、セッションで認証するんじゃなくてiOSから呼ぶAPIとかでトークン使って認証する場合はCSRFの対策いらないので無効にしたい。 その場合は protect_from_forgery with: :null_session ってすればいいらしい。これはCSRF Tokenが一致しなかった場合に例外を投げるんじゃなくてセッションを空にするという動作になる。 ちなみにprotect_from_forgeryのデフォルトは:null_sessionなので protect_from_forgery でもよさそう(Rails 4.0.0現在) ただし最初は以下のようになってるので明示的に変更する必要はある。 class ApplicationController < ActionContr
Webアプリケーションについて、RESTfulなURL・リソース設計のパターンを見出すことで、 どのパターンかを判断するだけで、既存の Good Practice が適用できる 名前をつけて呼べるようにしたい Railsなどのフレームワークで簡単に適用できるようにしたい ということを目指しています。 ほんとうに役立つか これはパターンと言えるのか もっと他にもある だいぶ粒度がバラバラ 名前の付け方(パターンは名前重要) など、ぜひご意見をください。 パターン Collection & Member Resource パターン Singular (Singleton) Resource パターン Filtered Collection パターン Filtered Subresource パターン Multi-member Resource パターン Partial Resource パター
cakePHPでSessionを利用するときは $this->Session->write(); $this->Session->read(); を使いますが、今回セッションが消えるという問題がおこった。 現在のバージョンは1.1.18。 最初、CAKE_ADMINを利用した管理画面の時のみ、セッションが消える現象がおこったのでその関係かなと思っていました。でも、実際はCAKE_ADMINは関係なかった。 原因はCSSでした。 →「cakePHPで変なアクセスがある!?」 で紹介されていたのですが、 画像、CSSなどで実際に存在しないパス&URLを指定していると、サーバにHTTPアクセスを行う!! その結果(内容は上記サイト参照)、セッションが消されていたということのようで・・・。 実際に、管理画面用のCSSには、存在しない画像へのパスが書かれていて、それを消したらセッションが消えなくなり
cURL関数を勉強してみた。 お題は ベーシック認証 ログイン(クッキーを使ってセッション保持) トークン 自分で作ったサイトに投稿してみた。 試行錯誤の末、やっとできた。 注意点 クッキーファイルは、絶対パス指定しないと、手の届かないところに作られてしまう。 当然そこが書き込み不可ならエラーになる。 あらかじめファイルを作成していないとエラーになる。 ファイル投稿するファイルも絶対パスで。 とりあえず、クッキーが何とかなれば、セッション保持も可能になるので、あとはなんとかなるレベル。 いろんなサイトへの対応できると思うんだが・・・ サンプルコード 投稿後の成功確認とか、省いちゃってますが・・・ <?php $curl = new myCurl; // ベーシック認証用 user pass $curl->setUserPass('user:pass'); // ログイン画面でトークン取得
WebサイトのHTML情報を取得する際にcurlを使用することがあります。 curlとはWebブラウザのコマンドライン版のようなもので、与えられた コマンドを元にページ情報を取得する機能です。 curlを使用すれば、ログインフォームにPOSTでデータを渡してログイン 処理を行い、ログイン後のページ情報を取得するようなことも可能です。 ですが、ログイン処理を行った後、ログイン後にしか行けないような別の ページの情報を取得しようとすると、セッションが引き継げずHTMLが取得 できない場合があります。 今回はそのような場合に対処する方法をお教えします。 まずは、curlを使用してログイン処理を行い、ログイン後のページを 表示するスクリプトです。 ここではPHPプロ!にログインする処理を記述しています。 <?php $params = array( "login-name" => "name",
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く