(39) reCAPTCHAで認証を実装
(1) やりたいこと 投稿フォームを botから守りたい。 (2) 実現方法 HTTP refererのチェックや、onetime tokenなどはよく使っているが、今回は Googleが提供している reCAPTCHA… 続きを読む »
「セキュリティ」カテゴリーアーカイブ
(7) 「このページには安全でない…」と言われてしまうときには
Chromeで該当ページを開き、Developer Toolを開く。([F12]押下など) Consoleタブを見ると警告内容が書かれている。 これを修正する。
(6) httpでのアクセスをhttpsに飛ばす
.htaccessを使ってこれを実現したい。 <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{HTTPS} off RewriteRule . … 続きを読む »
(5) SSL経由と非SSL経由とでクッキーを共有しない
そりゃそうだ。 せっかくSSLでセッション情報を隠しても非SSLで送っちゃったら平文バレバレだ。 ini_set(‘session.cookie_secure’, ‘On’);
(4) サニタイジング
とにかくPOSTやGET, ファイルIOなど、外部から入力するデータに対してはサニタイジングする必要がある。 具体的な方法は後日追記する。
(3) 共有SSLの危険性
「共有SSLの危険性」でググると有用な情報がいろいろみつかる。 こちらのブログ記事の内容がとてもわかりやすかった。 http://takagi-hiromitsu.jp/diary/20100501.html