Immortal Session の恐怖 そしてcookieを奪うのがどれほど簡単かというのは、 CSRFの事例が後をたたないことからも伺い知ることができる。どうもCSRFとセッションハイジャックを混合している様なので。セッションハイジャックは、sign inした正当なユーザのs…

mixiのレビューで見る恋空読者の国語力が非常に面白かったので、ちょっと方向性を変えて レヴュー中にある単語数を数えて、単語数が多ければ国語力が あるという風に判定してみた。単語数=国語力もかなり強引だが、まあその辺は勘弁して下さい。mixiのレヴュ…

ニュースサイト等見ていると、今みている記事のはてブのコメントが気になる事があるが、そんな時 はてなの検索をブラウザで開くのは面倒なので、はてブで検索ブックマークレットを作った。手順ははてブのセットアップと同じ様に、お気に入りの「リンク」フォ…

CSRF対策にワンタイムトークンが有効だという記事をよく見かけるけど、固定トークンの方がユーザに遷移を強制しない分良い実装だと思うんだけどなんで浸透しないんだろう？ まず、CSRF可能なWebアプリは以下の遷移の様に認証 → 入力 → 確認 → 完了まず認証を…

気がついたら以前 日本語した時から随分Pliggがバージョンアップしているようなので、もう一度インストールと日本語化の解説。 1.ソフトウェアの入手まずPligg公式サイトに行って 「DownloadNow」をクリック。 sourceforge.netに飛ぶので後はdownloadをクリ…

diggはスラッシュドットのようなユーザ参加型のニュースサイトだ。 このdiggに似たサイトを作成できるオープンソースソフトウェアがPligg。そんなに手間取らなかったけど一応後に続く方の為にインストール方法を残しておきます。 あと日本語化を行いましたの…