セキュリティ

2011-02-11

Firesheep問題への対応方法，セッション鍵をハッシュ関数＋Saltでワンタイムパス化．

とりあえずは暫定で書いてみよう．この対策はJavaScriptが使える環境でないと無理な上に，うまく実装しないときっとバグるし，現実的かはわからない．でもきっと全部SSLになったらそれはそれでコストがしんどいもんね．あそうかCookieのとなりにセッショ…

2009-03-15

SuExecのセキュリティなバグ：DocumentRootのセキュリティチェックが微妙

Apache セキュリティ

例えば、AP_DOC_ROOT="/var/www"だと、/var/www/test.cgiだけでなく、/var/www-FAKE/test.cgiもセキュリティチェックを通り抜けてしまうというバグがずいぶん前から放置されていた・ｗ・；。コードを読んでいると、ものすごく気になったので、Bugzillaで探…