投稿順表示 (81/282)
前のページ 1...76/77/78/79/80/81/82/83/84/85/86...282 次のページ
[4293] Re: 「WILLTY!」
沢渡真雪 (2007年6月23日 4時5分)
前にも見てフーンって感じでしたが、昨日みたらClickOnceということに気づいたのでLoginForm1を逆コンパイルしてみました。
そしたらOK_ClickとCancel_Clickメソッド(Clickイベントハンドラ)しかなくて、中身は両方this.Close();だけだったのですけど(謎)。
[4292] Re: 「POST にすることは CSRF の対策と言えるのか」
超お勧めした人 (2007年6月21日 18時4分)
POST が CSRF 対策になるか については、なるわけ無いと思うのですが
金床さんの文章「開発者のための正しいCSRF対策」の Version 2.1 以前 に書かれてる「■正しいCSRF対策」のあたりを“誤読”したり“半端に引用”したりすると勘違いする人は出現しそうな予感です。
※CSRF については ANSI の平田さんが 2001年に書かれた「セッション管理の脆弱性」が、シンプルで分かりやすく、未だに通用する良文章だと思います。
(攻撃側の参考にもなるので URL は略すのですが、ググれば一発という無意味な自己満足)
で、本題から逸れますが…
> GET にすると、処理完了画面を利用者がリロードしただけで、データ更新処理がもう一度走ってしまいます。
更新処理が再度走るかは、作り方次第でどうとでもなるような気がしました。
> 機能要件の面から POST にしろという要請があるはずです。
> ※POST でもリロードできますが、その場合は「データをもう一度送信しますか?」と聞かれるはず。
「データをもう一度送信しますか?」自体が更新処理再走の抑制になるものでもありませんし、再送による再走の対策(シャレのようだ)に POST と GET はあまり関係無いように思えます。
まあ、ログとかリファラに残っちゃうのイヤンとかの理由抜きにしても GET 許容で作ったりした事無いので、大いに関係あるのかもしれませんが。
[4291] Re: 「POST にすることは CSRF の対策と言えるのか」
ばけら (2007年6月21日 0時20分)
>例によって某IEの脆弱性にご配慮する話とごっちゃになっているのでは。
あー、確かに、CSSXSS は GET を拒否すると防げますね。
CSSXSS の防御法と混同されているということですか……。
[4290] Re: 「POST にすることは CSRF の対策と言えるのか」
ばけら (2007年6月21日 0時19分)
>ばけらさんに同意しますが、POSTに限定すべきページでGETも許容されている(意識的にではないと思いますが)ページは珍しくありませんよね。
そうですね。その点において、「POSTにする」のと「POST以外受け付けないようにする」は意味がかなり違ってくるので、そこも気をつけたいところだと思います。
[4289] Re: 「POST にすることは CSRF の対策と言えるのか」
ばけら (2007年6月21日 0時18分)
>mixi内にはあちこち GET で CSRF 可能な箇所がありました。
なるほど、そうなのですね。それは知りませんでした。
他にも結構あるのでしょうか……。
[4288] Re: 「証明書についてステキな説明をするサイト」
ばけら (2007年6月21日 0時17分)
>正直、あの時はあまり深く考えずにお勧めしてましたので、(結果はどうであれ)その点は反省。
いえいえ、とんでもない。面白かったですよ。
[4287] Re: 「POST にすることは CSRF の対策と言えるのか」
上野宣 (2007年6月20日 23時50分)
「普通は重要なデータ更新を扱う処理を GET にしたり」”してしまうこともある”ので、GETは止めようと言っておこうということです。単にCSRF対策というだけではなくなりますが。また、はせがわさんもおっしゃってますけど、GETによるCSRFもあります。
誤解を受ける可能性があることも含め、ばけらさんに同意します。
[4285] Re: 「POST にすることは CSRF の対策と言えるのか」
ockeghem (2007年6月20日 14時59分)
ばけらさんに同意しますが、POSTに限定すべきページでGETも許容されている(意識的にではないと思いますが)ページは珍しくありませんよね。
[4284] Re: 「POST にすることは CSRF の対策と言えるのか」
はせがわ (2007年6月20日 14時39分)
mixi内にはあちこち GET で CSRF 可能な箇所がありました。
例えば、プロフィールの「写真を編集する」にある(写真の)「削除」のURL <http://mixi.jp/delete_photo.pl?number=..&post_key=..> の、post_key パラメータなどはその名残(というか対応)です。
[4283] Re: 「証明書についてステキな説明をするサイト」
超お勧めした人 (2007年6月18日 16時53分)
「ことねっと」さんに、超お勧めされたオレオレ証明書を受け入れてみたところ、確認画面からの送信先が http:// となっていて、ステキを通り越して、凄まじさを感じました。
如何に自信を持って勧めたものであっても、配慮が足りないと相手に残念な思いをさせる事があるんですね。
正直、あの時はあまり深く考えずにお勧めしてましたので、(結果はどうであれ)その点は反省。
…と、話をすり替えてるうえに何が言いたいのかよくわからないよ。僕。><
[4281] Re: 「世界禁煙デー」
ばけら (2007年6月16日 2時13分)
>>それはともかく、世界のりゅうさんに真も日ブの更新処理をしてください、とお伝え願えないでしょうか?
> 既に10回くらい言っているような……。
ようやくちゃんと補足されるようになった模様です。
[4280] Re: 「実体参照と文字参照」
えむけい (2007年6月14日 10時12分)
>Wikipediaの「実体参照」の項によると、
>その定義はXMLの話で、
>HTMLとSGMLでは、数値文字参照と文字実体参照を合わせて実態参照と呼ぶ
>と言うふうに書かれてます。
>(Wikipediaが正しいかはわかりません)
どう見てもWikipediaの実体参照の説明が間違っている(というかHTMLの文字参照の説明になっている)ので、修正の上「文字参照」に移動してみました。
履歴を見るとiwaimさん【誰】も編集にかかわっているのに今まで放置されていたのがすごいです。
[4276] Re: 「くりきんは危険かも」
張るキング (2007年6月11日 19時51分)
ククク、再登場だぜ。くりきんはなんてゆうか歌がいいよね。(^-^) クリスターリアもいいけど、ワルスタリアもいいです。 あと、でこ広い人さんのすきなキンは、ゴミスキンではなく、ブリゴキンです。
