ものすごい今更感たっぷりのツッコミ。
http://japan.cnet.com/blog/kenn/2008/02/28/entry_25005627/
>この 'Thu Feb 28 00:06:14 -0800 2008' というのは Ruby の Time.now の文字列表現そのままです。
>この場合、フォームが表示されてから2時間以内のsubmitしか有効でないとしています
>さらに値をSHA-1などでハッシュしてしまえば、ハッシュする前のデータが推測できず、リプレイ攻撃以外に手段がなくなります。
日時形式をハッシュ化したら「2時間以内」がチェックできないと思うんだが。
http://japan.cnet.com/blog/kenn/2008/02/28/entry_25005627/
>この 'Thu Feb 28 00:06:14 -0800 2008' というのは Ruby の Time.now の文字列表現そのままです。
>この場合、フォームが表示されてから2時間以内のsubmitしか有効でないとしています
>さらに値をSHA-1などでハッシュしてしまえば、ハッシュする前のデータが推測できず、リプレイ攻撃以外に手段がなくなります。
日時形式をハッシュ化したら「2時間以内」がチェックできないと思うんだが。
PR
トラックバック
トラックバックURL:
