これは退職エントリではなく退職届を出したので転職先を募集する求職エントリです。
これといった大きな理由はないのですが細かい不満が溜まったため、今年いっぱいで退職することになりました。 細かい不満といってもチームメンバーや業務内容に文句があるわけではなく、逆に素晴らしい環境を提供していただいたと感謝しています。
http://co3k.org/blog/csrf-token-should-not-be-session-id について。
この記事では触れられていませんが、
この際ハッキリ言っておくべきだと思うので書きますが、そもそもセッションIDを(HTMLソース中に埋め込む)CSRF対策トークンとして使うのは間違いでした。最初から間違っていたのです。正確に言うとCSRFの話は関係ないですね。CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません。
public class HomePresenterImpl implements HomePresenter { | |
private static final String TAG = HomePresenterImpl.class.getSimpleName(); | |
private final HomeScreen screen; | |
private final DataProvider provider; | |
private Subscription subscription1; | |
public HomePresenterImpl(HomeScreenImpl screen, DataProvider dataProvider) { | |
this.screen = screen; | |
this.provider = dataProvider; | |
} |
#!/usr/bin/env perl | |
use strict; | |
use warnings; | |
use Time::Piece; | |
use Pod::Usage; | |
&main; exit; | |
sub show($) { | |
my $time = shift; |
#!/usr/bin/env perl | |
use strict; | |
use warnings; | |
my @array = ( 115, 117, 112, 112, 111, 114, 116, 101, 100, 32, 98, 121, 32, 76, 105, 118, 101, 115, 101, 110, 115, 101, 32, 73, 110, 99, 46, 10); | |
for my $c (@array){ | |
printf "%c",$c; | |
} |
require 'sinatra' | |
require 'httpclient' | |
CALLBACK_URI = URI.parse('http://example.com/callback') | |
configure do | |
set :httpclient, HTTPClient.new | |
end | |
post '/callback' do |
require 'rubygems' | |
require 'rack/reverse_proxy' | |
use Rack::ReverseProxy do | |
reverse_proxy '/callback', 'http://example.com/' | |
end | |
app = proc do |env| | |
[ 200, {'Content-Type' => 'text/plain'}, ["OK"] ] | |
end |
CVE-2016-7401
https://www.djangoproject.com/weblog/2016/sep/26/security-releases/
pythonのcookie parserが ; 以外もpairsの区切り文字として解釈するので、google analyticsのreferrer経由でsetされるcookieを使ってCSRF tokenを上書き可能だったという問題。
django側でcookie parser自前で実装、python本体は直ってないようだ https://github.com/django/django/commit/d1bc980db1c0fffd6d60677e62f70beadb9fe64a
多くのcookie parserは、pairsの区切りとして ; と , を許容しているのでdjango以外にも影響がある。 ブラウザが使用するcookie pairの区切りは実際には ;