主にプログラミングに関して。Python, .NET Framework(C#), JavaScript, その他いくらか。
記事にあるサンプルやコードは要検証。使用に際しては責任を負いかねます

スポンサーサイト

                
tags:
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

Python: セキュアなトークン取得方法

                
tags: python
 CSRF対策などに使うトークンはUUIDを使うのがいいのかなとこれまで考えていたが、気になるコメントをある記事で見つけた。
http://www.tokumaru.org/d/20110127.html
 UUID4なら十分なランダム性が得られるので問題ないかと思っていたが、仕様として”Do not assume that UUIDs are hard to guess”とも記述されていた。UUIDを推測するのが難しいものだと思うなと。

 StackOverflowにセキュアなトークンをどう出すかと、どうしてまずいかを解説しているものを見つけられらた。要はUUIDではセキュアといえるほどの乱雑さはないらしい。つまり無作為に作られるユニークIDとして使うには問題ないが、認証用のトークンとして使うには予想がどうにかついてしまうということだろう。
http://stackoverflow.com/questions/817882/unique-session-id-in-python/6092448#6092448
            

コメントの投稿

非公開コメント

プロフィール

Matoba

Author:Matoba

最新記事
リンク
作ったものなど
月別アーカイブ
カテゴリ
タグリスト

検索フォーム
Amazon
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。