azu

Pre-hijacking Attacksについてのメモ書きです。 元の論文と記事は次のページを読んでください。

• [2205.10174] Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web
• New Research Paper: Pre-hijacking Attacks on Web User Accounts – Microsoft Security Response Center

Pre-hijacking Attacks はメールアドレスの確認をしないでアカウントを作れるサービスという前提があります。

アカウント作成からそのまま機能を利用できるようにすることで、利用体験をよくするための施策として、メールアドレスの確認のステップを後回し またはしないサービスがあります。

nashirox

version: 2
jobs:
  build:
    working_directory: ~/my-app
    docker:
      - image: circleci/ruby:2.6.3-node-browsers
        environment:
          BUNDLE_RETRY: 3
          BUNDLE_PATH: vendor/bundle
          DATABASE_URL: postgres://postgres:password@localhost:5432/tech_cast_test

ohnishiakira

# coding: utf-8

require "date"

a = DateTime.new(2012, 1, 31, 23, 59, 55, "+09:00")
b = DateTime.new(2012, 2,  1,  0,  0,  0, "+09:00")

# (DateTime - DateTime)はRationalになるので、24 * 60 * 60をかけてto_iして秒単位に変換する
(b - a)                       # => (1/17500)
(b - a).class                 # => Rational