JaLC IRDB Crossref DataCite NDLサーチ NDLデジコレ(旧NII-ELS) RUDA JDCat NINJAL CiNii Articles CiNii Books NACSIS-CAT/ILL DBpedia KAKEN Integbio PubMed LSDB Archive 極地研ADS 極地研学術DB OpenAIRE 公共データカタログ
Last Updated on: 2018年8月20日問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保存さ
はてな認証APIさんが公開されまして、これひらたく言うとはてなわんわんワールドてきなID付きオモシロサービスをはてなスタッフじゃないヒトもバンバンつくれちゃうよ、ということです。ひらたく言いすぎ。 そんでそんで、はてな認証APIさんを一番使ってほしいのはインタラクティブアート(?)とかメディア学(?)とかコミュニケーション学(?)とかそうゆう方面の研究が好きな学生さんです。はてなわんわんワールドてきなオモシロツールをじゃんじゃん作っていただきたい。その裏で例えば「コミュニティがどう振舞うか」とか研究されちゃってもおれはかまわないと思いますサービスが面白ければ。 はてな認証APIを3つの立場で見ると、 作るひと(とくにおれは学生さん希望) いきなり40万人からのテストユーザ蠢く環境にサービスを放りこめて、テストユーザタダで使えてHappy! はてな 認証API広まればそれだけでHappy!
2018年10月31日(水) をもって、はてな認証APIの提供を終了します。それに伴い、OAuthへ移行をお願いいたします いつもはてなをご利用いただきありがとうございます。 下記の告知にて予告させていただきましたが、ご利用状況を鑑み、2018年10月31日(水)をもちまして、はてな認証APIの提供を終了させていただきます。 今後、はてなグラフ、ポケットはてななど、複数のサービスの提供を終了する予定です - はてなの日記 - 機能変更、お知らせなど はてな認証APIは、はてなアカウントによるユーザー認証をサードパーティのアプリケーションでも利用できるようにする開発者向けAPIで、2006年4月24日に公開しました。 なお、代替として、はてなではOAuthサービスプロバイダの機能を提供しておりますので、こちらのへの移行をご検討ください。 http://developer.hatena.ne.
Webカレンダーの30Boxesが「出す」と宣言していたAPIの一端を公開した。まだイベントの作成と更新が公開されていないが、それが出れば手元のツールと同期するプログラムとか簡単に書けそうだ。 Google、Amazon、eBayで始まったWeb APIの大きな流れは、当初の読み取り専用データのWeb公開(Open Data!)を経て、Flickr APIとその仲間たちやAtom PPのような更新できるAPI(をSPIと呼んだこともあったっけ)へと歩を進めつつある。 更新できるAPIで重要なのは、認証機能だ。30Boxesも、カレンダーにデータを追加することを念頭においているわけだから当然だが、最初から認証機能が用意されている。こんなAPI呼び出しでユーザーの承認を受けることができる。Flickrとその仲間たちも同じような仕組みでユーザーがアプリへ承認を与えることができる。Amazon W
■エログリッド・コンピューティング::CAPTCHA破れたり::CSRF対策関連 CSRF対策とCAPTCHAの利用 CSRF対策としてCAPTCHAの導入のみで済まそうとすることは危険です。 2006/03/18追記::金床さんからご指摘がありました。CSRFと下記のCAPTCHA破りの件は無関係でした。ご指摘有難うございます。 さて、CAPTCHAが破られたというのは ・botが自動的に(あるいはエログリッドのように半自動的?に)画像の文字を読みとることができるようになった ということです。しかしCSRFの観点で考えれば、正規ユーザのブラウザに送られたCAPTCHA画像は攻撃者の手には渡りません。ですから、この画像に隠されている文字列が自動的に判別できようができまいが関係ありません。つまり、依然としてこのCAPTCHAは ・チケットとして正しく動作 するので、CSRFは防げます。 追記
JamesDam.com ? AJAX Login System Demo This is an example of a login system that does not require page refreshes, but is still very secure. Ajax+PHPでの画面遷移なしのログイン画面作成サンプルが公開されています。 フォームに、user1, pass1 を入力すると即時認証が行われ、次のようにログイン状態になります。 認証には、Ajaxを使ったワンタイムパスワード方式が使われます。 具体的には、Ajaxでサーバからチャレンジコードを取得し、チャレンジコードとパスワードをmd5でハッシュして、更にその値をサーバに送信し、認証を取ります。 このため、従来の方式よりは安全な認証が可能となります。 Ajaxが出てきたことで、ブラウザを開いたままの状態でインタ
Background This article shows one way to use AJAX along with a series of images to create a secure CAPTCHA system. CAPTCHA is a way to tell humans and computers apart and is used all over the web, especially if you're signing up for new email accounts. For more background information and definitions, see http://en.wikipedia.org/wiki/Captcha Building an AJAX CAPTCHA First a database of images is c
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く