セキュリティースレッド (262レス)
セキュリティースレッド http://medaka.5ch.io/test/read.cgi/php/995032597/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
147: nobodyさん [sage] 2005/11/05(土) 09:40:45 ID:??? >>146 $_SERVER['PHP_SELF'] はサニタイズ必要 http://medaka.5ch.io/test/read.cgi/php/995032597/147
148: nobodyさん [sage] 2005/11/05(土) 11:44:15 ID:??? >>145 $_SERVER使うなら$_COOKIEの方がいいんじゃない http://medaka.5ch.io/test/read.cgi/php/995032597/148
149: nobodyさん [sage] 2005/11/05(土) 11:46:22 ID:??? $HTTP_COOKIE_VARS 使うなら $HTTP_SERVER_VARS 使え、と http://medaka.5ch.io/test/read.cgi/php/995032597/149
150: nobodyさん [sage] 2005/11/05(土) 17:49:34 ID:??? htmlspecialcharsよりむしろコントロールコードのほうがヤバイんだけど・・・ 改行、ヌル、タブが送られてきてもそのスクリプトは大丈夫かい? HTTPヘッダが丸見えになったり、ブラウザが真っ白になったり、データファイルが破壊されたりしないかい? http://medaka.5ch.io/test/read.cgi/php/995032597/150
151: nobodyさん [] 2005/11/07(月) 12:46:07 ID:X4GSH3T+ 俺はある共有レンタル鯖を借りてるんだが、 ttp://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/ 上のソース付きで PHPのセキュリティホールが見つかったのでバージョンを上げてくれって メールを4日ほど前に送ったんだが、未だに返事が無い・・・ うかつにバージョン上げたら、既に動いているスクリプトに影響があるので 対応が難しいのは判るんだが、セキュリティホールに対して対応するのは鯖屋の 義務じゃないのだろうか? サーバがダウンするようなスクリプト組めば、鯖屋も対応してくれるかな? http://medaka.5ch.io/test/read.cgi/php/995032597/151
152: nobodyさん [sage] 2005/11/07(月) 13:38:08 ID:??? WADAXは問答無用でバージョンアップの連絡が来た。 ECとかで不具合起こした会社とかってあるのかな。 こういうことがあると商用の共有サーバはリスキーだね。 http://medaka.5ch.io/test/read.cgi/php/995032597/152
153: nobodyさん [] 2005/11/07(月) 15:18:16 ID:ST4RY6Ao つい最近まで、悪質なJavaスクリプトを作成して、個人を笑いものにしていたサイト http://members.jcom.home.ne.jp/j-bridge/ http://j-bridge.da.tvdo.net/cam.htm http://medaka.5ch.io/test/read.cgi/php/995032597/153
154: 151 [sage] 2005/11/09(水) 13:23:07 ID:??? PHPのメーリングリストに、本日付で大垣氏よりPHP4.4.0以下のセキュリティホールに ついてのまとめが投稿されたようです。 ttp://ns1.php.gr.jp/pipermail/php-users/2005-November/027936.html 思ったよりたいした事無いのかな? register_globals = offなら、問題ないということで。 http://medaka.5ch.io/test/read.cgi/php/995032597/154
155: nobodyさん ["'>aaa] 2006/01/04(水) 23:40:24 ID:??? なんて過疎スレなんだ。 PHPがいかにセキュリティ的にダメダメかを物語っているな。' http://medaka.5ch.io/test/read.cgi/php/995032597/155
156: nobodyさん [] 2006/01/05(木) 16:37:59 ID:pttN5xUJ cookieを自動で[deleted]とかって書き換えるようなソフトってある? 漏れが発行したcookieが結構な確率でdeletedってなってるみたいなんだけど・・・ http://medaka.5ch.io/test/read.cgi/php/995032597/156
157: nobodyさん [sage] 2006/01/09(月) 02:15:18 ID:??? 過疎スレだとセキュリティ的にダメな言語?? http://medaka.5ch.io/test/read.cgi/php/995032597/157
158: nobodyさん [] 2006/01/22(日) 15:58:21 ID:WlGV7h6d >>157 1 PHP 2 Perl 3 C http://medaka.5ch.io/test/read.cgi/php/995032597/158
159: nobodyさん [sage] 2006/02/14(火) 03:26:25 ID:??? 色々読み漁ってみたり、人に話し聞いてみたりしたけど、 イマイチ自信が持てないセキュリティー これを押さえとけってのがあるといいんだがなぁ http://medaka.5ch.io/test/read.cgi/php/995032597/159
160: nobodyさん [] 2006/03/03(金) 23:25:40 ID:R8+Du6gi >>159 http://takagi-hiromitsu.jp/diary/20060129.html#p01 http://medaka.5ch.io/test/read.cgi/php/995032597/160
161: nobodyさん [] 2006/03/28(火) 20:10:52 ID:fZ61wIgX はてなAPIを調べていて、気になった事が。 認証時に送るデータのひとつに、PasswordDigest というものがあって、 「Nonce, Created, パスワード(はてなアカウントのパスワード)を文字列連結し SHA1アルゴリズムでダイジェスト化して生成された文字列を、 Base64エンコードした文字列」という説明があります。 自分のパスワードに色々文字列をくっつけた、ハッシュ (ダイジェスト) 値って事ですよね。 という事は、正しいかチェックするには生パスワードが必要になるわけですよね。 つまり、はてなのサーバ側ではパスワードの管理を、ハッシュ値ではなくて、 元の文字列そのままデータベースに保存している、と。 話にならないセキュリティですね。 WEB2.0だアジャイルだと寝言ポエム唱える前に、基礎的な技術を習得すべきですよ。 http://medaka.5ch.io/test/read.cgi/php/995032597/161
162: nobodyさん [sage] 2006/03/28(火) 23:09:15 ID:??? コピペを得意に語るなよ http://medaka.5ch.io/test/read.cgi/php/995032597/162
163: nobodyさん [sage] 2006/04/09(日) 04:27:52 ID:??? WEB2.0 = アジャイル = 寝言ポエム http://medaka.5ch.io/test/read.cgi/php/995032597/163
164: nobodyさん [] 2006/05/05(金) 04:48:24 ID:0pIEn1FP 上げるわよ http://medaka.5ch.io/test/read.cgi/php/995032597/164
165: nobodyさん [] 2006/05/05(金) 21:35:35 ID:DVXSQw0s >>164 お前なんでこんな面白スレ、今まで隠してたんだよ。 >>161には大笑いさせてもらった。さすがwebprog板、香ばしさが一味違う。 http://medaka.5ch.io/test/read.cgi/php/995032597/165
166: nobodyさん [sage] 2006/05/21(日) 06:36:50 ID:??? >>161の件について回ってみたら、パスワードを使い回してる香具師は馬鹿だから何の問題もないとか、 費用対策効果を考えると順当だとか、問題視することかなぁ、とか書いてあるが、 問題なく出来ることをしないのは訳が分からない。 アホか?とか思うんだけど、俺がアホなんでしょうか。 http://medaka.5ch.io/test/read.cgi/php/995032597/166
167: nobodyさん [sage] 2006/05/21(日) 09:25:22 ID:??? >>166 大丈夫、俺もアホさ。 http://medaka.5ch.io/test/read.cgi/php/995032597/167
168: nobodyさん [age] 2006/05/23(火) 22:37:52 ID:??? Fujitsu MyWeb Products SQL Injection Vulnerabilit ttp://secunia.com/advisories/20178/ CRITICAL: Moderately critical SOLUTION: Contact the vendor for updated versions. ttp://www.myweb-jp.com/resq/ http://medaka.5ch.io/test/read.cgi/php/995032597/168
169: nobodyさん [sage] 2006/05/30(火) 08:23:54 ID:??? hana=mogera http://medaka.5ch.io/test/read.cgi/php/995032597/169
170: nobodyさん [] 2006/08/03(木) 06:41:53 ID:HjJyuduF メール送信プログラムのセキュリティについて。 昨夜、うちのメールフォームから10通連続で変な送信がありました。 遅れないはずの BCC やら CC に宛先を加えているのです。 ヤフってみたら同じようなのが数件出てきました。 CC:buletmann@aol.com BCC:buletmann@aol.com ttp://search.yahoo.co.jp/search?p=buletmann@aol.com これは、スパムの中継にしようとしてるのでしょうか? http://medaka.5ch.io/test/read.cgi/php/995032597/170
171: 170 [] 2006/08/03(木) 16:16:35 ID:R1Mf9tar 誰か教えて下さい。これは危険なんですか? CGIのセキュリティホールを突かれてる? http://medaka.5ch.io/test/read.cgi/php/995032597/171
172: nobodyさん [sage] 2006/08/03(木) 22:31:38 ID:??? >>170 まずメールフォームに使ってるCGIとそのバージョンを書け。 世の中にメールフォームがどれだけあると思ってるんだ。 http://medaka.5ch.io/test/read.cgi/php/995032597/172
173: nobodyさん [sage] 2006/08/04(金) 15:33:16 ID:??? そもそもそれは本当にメールフォームからなのか http://medaka.5ch.io/test/read.cgi/php/995032597/173
174: nobodyさん [] 2006/08/07(月) 16:33:42 ID:yYQHYFxU サーバ上に置いたデータファイルを不特定の第三者に 閲覧されないようにするためにすべき常套手段ってどんなの? 「オレはこうやってる」というのでも良いので披露して下さい。 1.htaccessでCGI等からしかアクセスできないよう制限をかける。 2.拡張子をcgiにする(必要に応じてパーミッション変更)。 3.上記併用。 4.その他。 ちなみに、1と2だとどっちの方が強固? http://medaka.5ch.io/test/read.cgi/php/995032597/174
175: nobodyさん [sage] 2006/08/07(月) 18:19:46 ID:??? ドキュメントルートの上の階層に置く http://medaka.5ch.io/test/read.cgi/php/995032597/175
176: nobodyさん [sage] 2006/08/07(月) 19:31:48 ID:??? ディレクトリのパーミッションを700にするのもあり。 拡張子をcgiにするのは格好悪いからやめたほうがいいんじゃないかな。 多くのHTTPDでは.で始まるファイルはインデックスに表示されないし 標準的なApacheなら.htで始まるファイルは Deny from all なので .htmydataみたいなファイル名にするのが俺的おすすめ。 でも他人の管理が前提なら必ず.で始まるファイルが作れないと言ってくるので やめたほうがいいと思うけど。 http://medaka.5ch.io/test/read.cgi/php/995032597/176
177: nobodyさん [sage] 2006/08/07(月) 20:35:39 ID:??? >>175か、別サーバのDBMSに突っ込む 拡張子を.cgiにするのはクズ http://medaka.5ch.io/test/read.cgi/php/995032597/177
178: 174 [] 2006/08/08(火) 15:52:09 ID:x4/Y+pQ1 レスありがとうございます! 自分の知識の低さを露呈してしまって恥ずかしい限りです。 >>175 うぅむ、確かにそれが一番手っ取り早くて安全かも。 >>176 詳しいアドバイスどうもです! レン鯖なんかだと無作法な覗き屋さんが居たりすることもあるっぽいので 拡張子をcgiにしとけばcsvやdatなんかよりは多少なりともカモフラージュになるかな、 という理由もあって、おまじないのような感じでcgiにしてる。 でも、やっぱカコ悪いよね・・・。 >.htmydataみたいなファイル名にするのが俺的おすすめ。 こんな発想微塵もなかった!すごい! Windows環境で直接データファイルを扱うときのことや レン鯖のことを考えると汎用性は若干落ちるけど、 現状では問題ないので、さっそくマネさせてもらいます。 でも、 >ディレクトリのパーミッションを700にするのもあり。 これが一番簡単な気がする・・・。けど磐石ではない? >>177 >別サーバのDBMSに突っ込む これだと、第三者はパスもほぼ推測不能だし最強だなぁ。 でも、セキュリティと手間とを天秤に掛けると個人的には気後れしちまう。 いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり? http://medaka.5ch.io/test/read.cgi/php/995032597/178
179: nobodyさん [sage] 2006/08/08(火) 23:18:27 ID:??? >>178 >いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり? それ以上。暗号化して格納してたりする。鯖ごと持ってかれても解読不能。 http://medaka.5ch.io/test/read.cgi/php/995032597/179
180: nobodyさん [sage] 2006/08/09(水) 00:11:30 ID:??? 拡張子cgiは格好悪くとも実用的で実際に効果がある方法だろ。 保険という意味でも悪くないと思うがな。 phpだと大規模なフレームワークやオープンソースプロジェクトも同じ対策取ってるし。 http://medaka.5ch.io/test/read.cgi/php/995032597/180
181: nobodyさん [sage] 2006/08/09(水) 17:12:26 ID:??? そもそも拡張子cgiがなぜ格好悪いのか理解できないオレガイル。 既存のシステムだけでこと足りて、その利点をうまく流用した評価すべき例だと思うんだが。 無知なクライアントに対してはとりあえず使っとけ、みたいな感じはするけど、 そんなとこから「格好悪い」というイメージが出たのかな。 http://medaka.5ch.io/test/read.cgi/php/995032597/181
182: nobodyさん [sage] 2006/08/09(水) 22:11:43 ID:??? セキュリティを考えた場合は、拡張子がなんであれ、 サーバのドキュメントルートの配下に、 不特定の第三者に、見られて困るような情報を、置くべきではないです。 http://medaka.5ch.io/test/read.cgi/php/995032597/182
183: nobodyさん [sage] 2006/08/09(水) 22:20:21 ID:??? そうは言っても無料スペースはpublic_htmlだけだからなぁ。 上の例は極端ですが、前提条件を明確にせずに言い合いしても 意味ないですよ。セキュリティーは青天井ですから。 http://medaka.5ch.io/test/read.cgi/php/995032597/183
184: nobodyさん [sage] 2006/08/09(水) 22:46:28 ID:??? 仕様外の動作が偶々動いているだけだから。 cgiという拡張子で実行ビットが立っていないものは、そのまま 送信するという動作に、突然変えられたらどうする気だ? http://medaka.5ch.io/test/read.cgi/php/995032597/184
185: nobodyさん [sage] 2006/08/11(金) 22:16:49 ID:??? 正攻法とか裏技とか原則とかそういう観念的なことは別にして、 実際のところドキュメントルート下に置いてある拡張子cgiのファイルを 悪意の第三者が見ることは可能なの? http://medaka.5ch.io/test/read.cgi/php/995032597/185
186: nobodyさん [sage] 2006/08/11(金) 23:10:30 ID:??? >>185 >正攻法とか裏技とか原則とかそういう観念的なことは別にして そこを別にされるとなんとも答えようが無いが、何も対策してなければ 覗き見自体はいくらでも可能。 http://medaka.5ch.io/test/read.cgi/php/995032597/186
187: nobodyさん [sage] 2006/08/12(土) 00:37:16 ID:??? 条件設定していない設問は無意味。 http://medaka.5ch.io/test/read.cgi/php/995032597/187
188: nobodyさん [sage] 2006/08/12(土) 01:30:13 ID:??? あと、安全性の議論で言うところのリスクとハザードみたいな考え方も大事だな。 http://medaka.5ch.io/test/read.cgi/php/995032597/188
189: nobodyさん [sage] 2006/08/13(日) 01:45:24 ID:??? 議論のための議論になってるな。 http://medaka.5ch.io/test/read.cgi/php/995032597/189
190: nobodyさん [sage] 2006/08/13(日) 16:33:52 ID:??? 素人の見解であることをあらかじめ断っておきます。 間違いがあれば容赦なく訂正してください。 >>185 187の言う通り条件による。拡張子をcgiにする方法は、httpdが 1. cgiの拡張子がついたファイルを常にcgiとして実行しようとすること 2. 1で実行属性のない場合や実行するファイルとして不正な内容だった場合にエラーを返すこと 3. 2のエラー表示にファイルの内容が含まれないこと という動作をする場合に限り有効。ファイルの存在そのものを隠すためには 4. 2のエラーは404を返す こと。 http://medaka.5ch.io/test/read.cgi/php/995032597/190
191: nobodyさん [sage] 2006/08/13(日) 16:42:20 ID:??? 取りあえず404は違うだろ。 http://medaka.5ch.io/test/read.cgi/php/995032597/191
192: nobodyさん [sage] 2006/08/13(日) 16:49:50 ID:??? >>190 4はないな。 http://medaka.5ch.io/test/read.cgi/php/995032597/192
193: nobodyさん [sage] 2006/08/14(月) 09:07:30 ID:??? >>190 > 不正な内容だった場合にエラーを返すこと 不正な内容であることを確認するためには実行する必要があるが、 その結果エラーになることをhttpdは担保できない。 http://medaka.5ch.io/test/read.cgi/php/995032597/193
194: nobodyさん [sage] 2007/03/23(金) 17:16:32 ID:??? PHPの投稿フォームで<a>タグ <img>タグと ダブルクオートを許可したのですが、 セキュリティは、どんなところに気をつければいいでしょうか? http://medaka.5ch.io/test/read.cgi/php/995032597/194
195: nobodyさん [sage] 2007/03/29(木) 19:31:14 ID:??? 全部NGにして wiki風の言語を作る http://medaka.5ch.io/test/read.cgi/php/995032597/195
196: nobodyさん [] 2007/04/25(水) 23:19:16 ID:B1ZZgxV3 imgタグで画像ファイルでないものを画像ファイルの拡張子で指定した場合、 IE6馬鹿ブラウザは、HTMLファイルとしてレンダリングしてしまうので、 XSSなどの脆弱性が生じる。 つまり、投稿フォームを閲覧しただけで、何らかのスクリプトが発動可能になる。 <img>タグは、許可しない方がいい。 ダブルクォートは、実体化した方がいい。 http://medaka.5ch.io/test/read.cgi/php/995032597/196
197: nobodyさん [] 2007/04/28(土) 01:19:52 ID:2O4EKOL8 *[日記]id:Hamachiya2さんのこと WEB+DBプレスを見た。 はまちちゃんがデブサキモヲタでショック。 あのサスペンダーはありえないでしょう。 そりゃ「中学出たての未成年女子」だとは 思ってなかったけどさ。これはひどい。 いまどき吊りズボンかよっ。 http://medaka.5ch.io/test/read.cgi/php/995032597/197
198: nobodyさん [] 2007/05/18(金) 17:52:29 ID:GL1hkE7j すいません、何か最近サイトのindex.phpが勝手に書き換え られるんですけど、これ何なのでしょう? ページの最後に 見覚えのないJavaScriptのタグが埋め込まれています・・・。 <script language="JavaScript">e = '0x00' + '54';str1 = "%EF%B・・・ といった感じのやつです。 一つではなく、複数のサイトで被害にあっているんですが、これ ってウイルス仕込まれているんでしょうか? http://medaka.5ch.io/test/read.cgi/php/995032597/198
199: nobodyさん [sage] 2007/05/18(金) 18:24:00 ID:??? そのコードをそのまんまヤフー検索したら、index.php開いて最後にあるやつ消せとか書いてるページがあった ttp://www.rockettheme.com/forum/index.php?topic=11361.msg56175 http://medaka.5ch.io/test/read.cgi/php/995032597/199
200: nobodyさん [] 2007/05/18(金) 18:33:03 ID:GL1hkE7j スクリプト部分を抜き出してjs(WSH)化し、出力しようとしている文字列を抽出したら ttp://givecnt.info/ld/ment/ というurlを隠しフレームで表示するコードでした・・・。 http://medaka.5ch.io/test/read.cgi/php/995032597/200
201: nobodyさん [] 2007/07/09(月) 07:25:08 ID:L9K9FUBd セッション管理不備のネットショップが多すぎます>< http://medaka.5ch.io/test/read.cgi/php/995032597/201
202: nobodyさん [sage] 2007/07/09(月) 07:48:28 ID:??? どんな不備かkwsk http://medaka.5ch.io/test/read.cgi/php/995032597/202
203: nobodyさん [] 2007/09/06(木) 22:00:53 ID:OvtHfWTA fusianasan http://medaka.5ch.io/test/read.cgi/php/995032597/203
204: nobodyさん [sage] 2007/09/07(金) 00:08:55 ID:??? 数字のみの総当たり攻撃からパスワードを守るには… 0000232 というパスを文字列として認証すれば大丈夫ですかね? http://medaka.5ch.io/test/read.cgi/php/995032597/204
205: nobodyさん [sage] 2007/09/07(金) 05:42:47 ID:??? >>204 バカ発見 http://medaka.5ch.io/test/read.cgi/php/995032597/205
206: nobodyさん [sage] 2007/09/07(金) 05:58:38 ID:??? 釣り http://medaka.5ch.io/test/read.cgi/php/995032597/206
207: nobodyさん [age] 2007/09/12(水) 21:12:43 ID:??? CSRFやXSSの脆弱性って、腐るほどありますね。 http://medaka.5ch.io/test/read.cgi/php/995032597/207
208: nobodyさん [] 2007/09/21(金) 15:18:30 ID:ChIVEQuV なかなかよい会社だったよ http://www.tyranno.co.jp/ http://medaka.5ch.io/test/read.cgi/php/995032597/208
209: nobodyさん [sage] 2007/09/21(金) 18:07:00 ID:??? しらんがな http://medaka.5ch.io/test/read.cgi/php/995032597/209
210: nobodyさん [sage] 2007/09/27(木) 18:49:15 ID:??? >>207 ページ間の遷移がしっかり設計できてないと穴だらけになるな。 それさえできてれば大丈夫ではないが。 http://medaka.5ch.io/test/read.cgi/php/995032597/210
211: nobodyさん [] 2007/12/09(日) 09:49:39 ID:xonW/myH ttp://takagi-hiromitsu.jp/diary/20060409.html ちょっとこれ是非も含めて三行でまとめてくれ 結局どうするのがいいんだ http://medaka.5ch.io/test/read.cgi/php/995032597/211
212: nobodyさん [sage] 2007/12/09(日) 12:31:58 ID:??? まず続きを読めよ http://medaka.5ch.io/test/read.cgi/php/995032597/212
213: nobodyさん [sage] 2007/12/09(日) 20:12:50 ID:??? ややこしいことなんてする必要なし ってことだろ? http://medaka.5ch.io/test/read.cgi/php/995032597/213
214: nobodyさん [] 2008/06/04(水) 11:26:41 ID:iHjER+/w jp2.php.netがさくらのルータクラックの被害にあってたらしいぞ ソース:さくら専鯖スレ http://medaka.5ch.io/test/read.cgi/php/995032597/214
215: nobodyさん [sage] 2008/06/04(水) 14:14:35 ID:??? >>214 懐かしい話題だな。 http://medaka.5ch.io/test/read.cgi/php/995032597/215
216: nobodyさん [sage] 2008/06/05(木) 01:32:35 ID:??? >>215 おいおまい、jp2のマヌアルを参照してたんだが、ウイルススキャンは必要か? ちなみにセキュリティソフトは期限切れで使えない http://medaka.5ch.io/test/read.cgi/php/995032597/216
217: nobodyさん [sage] 2008/06/05(木) 11:41:12 ID:??? >>216 セキュリティソフトをなんとかしろ話はそれからだ http://medaka.5ch.io/test/read.cgi/php/995032597/217
218: nobodyさん [] 2008/06/12(木) 02:36:11 ID:aNIzmTBv takano32,TAKANO Mitsuhiroこと高野光弘(日立製作所社員、日本UNIXユーザ会幹事)が、 自身の『32nd diary』で公然と日立の機密を開示し、障害者差別発言をしている問題。 1981年11月12日 千葉県のディズニーランドのそばで誕生 2001年4月1日 千葉大学に入学 2005年4月1日 千葉大学大学院へ進学、日本UNIXユーザ会に入会 2007年4月1日 日立製作所に入社、神奈川県秦野市の寮へ 2007年8月22日 「ついに職場で人が倒れた」と公表 2007年11月13日 「情報漏えい」を言う上司に「死んだほうがいいよ」と暴言 2007年12月28日 「社内システムクソうんこ」と発言し、仕組みも暴露 2008年5月23日 機密漏洩問題について一応の謝罪 2008年5月26日 「給料泥棒とかうんぬん言われた」と謝罪を忘れて告白 2008年5月27日 「心バキバキ川田くん」と前日の発言者の名前を公言 2008年5月31日 「キチガイ」と日立のユーザーに障害者差別発言を連発 2006年10月27日(日立製作所に入社前に忠告されたこと) 「日記やコメントの投稿日時から勤務時間に業務外のことをしていることが判明」は 某社の某親会社が 2ch で祭られたように、NG です。 6月も勤務時間中に更新し続ける高野光弘君の『32nd diary』にツッコミをどうぞ http://medaka.5ch.io/test/read.cgi/php/995032597/218
219: nobodyさん [] 2008/06/18(水) 03:38:14 ID:L/0lP+ed Cookieデータってブラウザの何かの設定ファイルとか手書きで 編集とか出来たりしますか?クッキーにID入れておいて次回表示時に IDとパスワードを自動的にテキストボックスに値を戻す プログラムを組んでるんですが 誰かがクッキーの値を盗んで他のマシンにそのクッキー値を手書きで 書かれてしまったらパスワードとか盗まれて セキュリティー上問題があります。 http://medaka.5ch.io/test/read.cgi/php/995032597/219
220: nobodyさん [sage] 2008/06/22(日) 20:16:40 ID:??? セキュリティー上問題があります。 http://medaka.5ch.io/test/read.cgi/php/995032597/220
221: nobodyさん [sage] 2008/08/30(土) 11:46:56 ID:??? ttp://gihyo.jp/dev/serial/01/php-security/extra/001217 ttp://gihyo.jp/dev/serial/01/php-security/extra/001218 ここで17で言ってる秘密のsalt(saltって一般に別のものを指すのが普通だと思うが)と、 18で言ってるチャレンジレスポンス認証を両立させる方法があるなら教えてくれ。 http://medaka.5ch.io/test/read.cgi/php/995032597/221
222: nobodyさん [] 2008/11/17(月) 19:30:44 ID:+x4gvrpS >>219 今、私もそれで悩んでたんですけど テキストボックスにパスワードを戻すってことは どっかに平文のパスワードを入れなきゃならないんですよね。 まあ、cookieかDBってことになるんでしょうけど cookieなら盗まれても一人ずつだけど、DBは下手すると全員のパスが盗まれることもあるじゃないですか。 どんなに、気をつけてつくっても、例えばDBに直接接続できるスタッフとかは防ぎようないし。 まあ、セキュリティー的に問題あるといえばあるけど、ようはトレードオフだと思うんですよ。 例えばワンクリックショッピングなどはやめた方がいいし、簡単なアカウント機能なら、つけたほうが断然便利だし 特に、使う人がパソコン使い慣れていないと、毎回入力するのなんてありえないと思うんですよね。 色々考えた結果潔くcookieに平文パスワードしまっちゃおうと思うのですが どう思います?他に何か良いアイデアありますか? http://medaka.5ch.io/test/read.cgi/php/995032597/222
223: nobodyさん [sage] 2008/11/18(火) 01:37:11 ID:??? IEのID覚える機能でいいじゃん どっちにしてもパスワード生でCookie保存はやばい http://medaka.5ch.io/test/read.cgi/php/995032597/223
224: nobodyさん [sage] 2008/11/18(火) 01:39:46 ID:??? この御仁の記事は微妙に突っ込みたくなったりもするんだが、 http://gihyo.jp/dev/serial/01/php-security/extra/001208 とりあえずこれに関してはまあ参考になるんでね? http://medaka.5ch.io/test/read.cgi/php/995032597/224
225: nobodyさん [sage] 2008/11/18(火) 03:53:39 ID:??? クッキーのパスワード暗号化ってフォームのパスワードが*****になるのと 同じぐらいの効果しかないだろ 銀行のパスワードと糞掲示板のパスワードをいっしょにしてて、 誰かに覗き見られたり、抜かれたりして被害を被っても、 んなもんはユーザーが悪い http://medaka.5ch.io/test/read.cgi/php/995032597/225
226: nobodyさん [sage] 2008/11/18(火) 11:17:36 ID:??? 何を言ってるの? http://medaka.5ch.io/test/read.cgi/php/995032597/226
227: nobodyさん [sage] 2008/11/21(金) 10:36:25 ID:??? パスワードなんてその都度入力させればいい。 5分かからないだろ。 http://medaka.5ch.io/test/read.cgi/php/995032597/227
228: nobodyさん [] 2008/11/28(金) 22:42:07 ID:FLoAQsXc hiddenは危険脳 ってやつは信じていいのか。ページキャッシュとしてhiddenの値が残るのは考慮にいれなくていいのか? http://medaka.5ch.io/test/read.cgi/php/995032597/228
229: nobodyさん [sage] 2008/11/28(金) 23:31:44 ID:??? >hiddenは危険脳 の意味が分からない。 ああ、ゲーム脳とかそういう脳か? どっかで誰か言ってるの? hiddenじゃ危険てかそういう意味じゃ基本的にみんな危険だけど、 使い方によるわな。 http://medaka.5ch.io/test/read.cgi/php/995032597/229
230: nobodyさん [sage] 2008/11/28(金) 23:32:46 ID:??? おお検索したらなんか出てきたわw http://medaka.5ch.io/test/read.cgi/php/995032597/230
231: nobodyさん [sage] 2008/11/29(土) 15:22:36 ID:??? でみんなどうしてる? http://medaka.5ch.io/test/read.cgi/php/995032597/231
232: nobodyさん [sage] 2009/04/13(月) 11:57:09 ID:??? PHPでウェブプログラミングしています。 GET変数について詳しいかたがいらっしゃったらお聞きしたいことがあるのですが…。 GET変数は、「変数がURLに埋め込んで渡される変数」という理解で間違いないでしようか? 必ず「…?…」の形で渡されるという考えでよろしいのでしょうか。 それとも、なにか特殊なURL記述方法でGET変数を渡せたりしますか? よろしくお願いします。 http://medaka.5ch.io/test/read.cgi/php/995032597/232
233: nobodyさん [] 2009/04/22(水) 02:38:48 ID:57zKWx3g 有名なサイトで会員登録の時にJavaScript入れたら弾かれつつも動くんだが、 これってXSSになるのか? http://medaka.5ch.io/test/read.cgi/php/995032597/233
234: nobodyさん [sage] 2009/05/05(火) 13:39:50 ID:??? >>222 複合可能な暗号にして、パスワード・ユーザー名などをまとめて暗号化したら? http://medaka.5ch.io/test/read.cgi/php/995032597/234
235: nobodyさん [sage] 2009/05/05(火) 22:46:18 ID:??? どうやってそういうの安全にやるわけ? IEの保存機能に任せるんでないなら、 安全にするにはどうせサーバ側でやるしかないんだから、 もはやIDとパスワードって方式にする必要ないでしょ。 >>224のリンクみたいな感じでやりゃいい。 http://medaka.5ch.io/test/read.cgi/php/995032597/235
236: nobodyさん [] 2009/10/09(金) 09:56:52 ID:WcuIFqLs ttp://d.hatena.ne.jp/IwamotoTakashi/20091006/p1 PHP板の人間にとってはちんぷんかんぷんだろうなw http://medaka.5ch.io/test/read.cgi/php/995032597/236
237: nobodyさん [] 2009/10/13(火) 15:56:34 ID:ICZgWXYU 実証サンプルコードとどう直したらいいのかが併記されてないとw http://medaka.5ch.io/test/read.cgi/php/995032597/237
238: nobodyさん [sage] 2010/02/18(木) 20:12:41 ID:??? 同一ドメインのURLを呼び出すiframe内のdomへのアクセス制限をサーバー側のアクションでかける方法か、 サーバー側でiframeからのアクセスを拒否する方法はありませんか? http://medaka.5ch.io/test/read.cgi/php/995032597/238
239: nobodyさん [] 2010/04/20(火) 22:19:18 ID:cFW60NlN 最近うちの弟が妙に金持ってる思ったら こんな所で稼いでやってやがったよ!! http://okamikakushi.net/jp/8ned1qi なんかムカつくから、俺も明日やってみるわ(ワラ http://medaka.5ch.io/test/read.cgi/php/995032597/239
240: 【32.4m】 電脳プリオン ◆3YKmpu7JR7Ic [sage] 2012/06/17(日) 22:09:19.35 ID:??? ∧_∧ ( ・∀・) | | ガガッ と ) | | Y /ノ .人 / ) .人 < >_∧∩ _/し' < >_∧∩`Д´)/ (_フ彡 V`Д´)/ / ←>>125 / ←>>120 http://medaka.5ch.io/test/read.cgi/php/995032597/240
241: nobodyさん [sage] 2012/08/17(金) 20:33:54.62 ID:??? CSRF対策というのは 認証されている状態であってもシステム側が用意したページ以外のリクエストは受け付けない でよろしいでしょうか? http://medaka.5ch.io/test/read.cgi/php/995032597/241
242: nobodyさん [sage] 2012/08/18(土) 13:19:08.76 ID:??? >>241 論理的にはそうなるね http://medaka.5ch.io/test/read.cgi/php/995032597/242
243: nobodyさん [sage] 2012/09/15(土) 18:47:30.21 ID:??? http://www.symantec.com/connect/blogs/facebook-csrf facebookでCSRFを突破した方法 1.ユーザに偽のページを開かせる 2.どうにかしてTOKENを含むページをコピペさせる 3.攻撃者のサイトで解析をしウマー こんな攻撃どうやって防ぐんだよ… http://medaka.5ch.io/test/read.cgi/php/995032597/243
244: nobodyさん [sage] 2013/01/21(月) 02:03:04.91 ID:??? ファイルを暗号化してて鍵を変更したいときにファイルを暗号化し直さないで済む方法ってある? WindowsのEFSは共通鍵生成してそれでファイルを暗号化してその共通鍵をさらに別の鍵で暗号化してるらしいけど 他に良い方法があれば http://medaka.5ch.io/test/read.cgi/php/995032597/244
245: nobodyさん [sage] 2013/03/16(土) 21:58:24.47 ID:??? OAuth認証でサイト制作者はコールバックURLを自分のページにしてそこで リクエストトークンとverifireを保存しようと思えば保存できてしまいますよね この2つから制作者はconsumerkeyとシークレットを持っているので アクセストークンを受け取れてしまうのでしょうか? サードパーティの制作者は情報を抜き取ってアクセスはできないという 証明が欲しいのですが http://medaka.5ch.io/test/read.cgi/php/995032597/245
246: nobodyさん [sage] 2013/03/26(火) 08:57:57.15 ID:??? いやOAuthってそういうもんだろ。 製作者が受け取れてしまうもクソも、受け取って使うんだよ。 ユーザーはクライアント(>>245のいう製作者)を信頼し サービスアカウントに対する自由なアクセスを許可する。 http://medaka.5ch.io/test/read.cgi/php/995032597/246
メモ帳
(0/65535文字)
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 16 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.008s