VPSを引っ越した

このサイトは約5年前に契約したVPSで動かしていましたが、コスト面と色々一新したくてVPSを引っ越してみた。

ByeBye「さくら」Hello「ConoHa」

さくらインターネットの「さくらVPS 512」から、ConoHaの「メモリ1GB」に引っ越しました。
料金は月100円くらいやすくなりました、

ByeBye「com」Hello「me」

ドメインも一新することにしました。
comからmeに移行しています。
年間利用料が1/3くらいになりました。

ByeBye「5」Hello「7」

CentOS5を使ってましたが、CentOS7になりました。
systemctlを覚えました。

やったこと



Pocket

Posted in その他.

こんなtokenのつくりかたは嫌だ

たぶんCSRFの対策なんだろうけど、対策になっていないコードをみつけた。
こういうことはしてはいけませんよ!というメモ。
記述はCakePHPを対象にしています。

※実際にみたコードではuser_idをGETで送ったりはしてません。

$tokenの作り方がまずい。
$tokenの元になっている
- $session_idは再ログイン(もしくはセッションが時間で切れる)しない限り永遠に同じ値。
- $saltは固定。
というものになっている。
つまり、$session_idが変わらない限り$tokenも変わらないということになる。

確かにindexで2回以上ボーナスがもらえないようにgotBonus()で確認しているが、receiveでは確認していないという・・・。
つまり、
>http://hoge.com/bonus/receive/?user_id=xxxx&token=$token
このURLさえつかんでしまえば、このURLをブラウザでたたきまくれば何回でもボーナスをゲットできてしまうという。
そしてこのURLをつかむのなんて全く簡単な話だということ。

ちゃんとワンタイムトークンなものを使うようにしましょう。

Pocket

Posted in その他.

SICP 5章 P307〜P317 レジスタ計算機の写経

社内SICP勉強会で最後の5章を進行中です。
この勉強会、入社した年からやっているのでもう2年半以上やっていると思われる。
5章で出てくるレジスタ計算機を動かすためには、P307〜P317を写経してやる必要があるんだが、割とスムーズに写経できて動いた記念でのせておく。

ちなみに僕の実行環境は DrRacket 言語:R5RS です。

4章とかも写経しないと本に載っていることを動かせない状態で、写経するとだいたいタイポがあって動かすまでにめっちゃ時間かかってしまう。
どうしても動かない原因わからなかったらネットで公開してる人がわりといるのでコピって来ても良いと思っている。
なお、ネットで公開してる人の実行環境は Gauche が多い気がする。

Pocket

Posted in その他.