セキュリティ用語あれこれ

タイムスタンプ

時刻認証と呼ばれる暗号セキュリティー方法です。いつ存在していた情報か、改ざんされていない真正な情報かを証明することができます。 今回は、cssファイルのキャッシュを防ぐ方法として、ファイルのurlの末尾にタイムスタンプを加えることで対処しました。

nonce

外部からの悪意のあるアクセスから守るために使われる、一度だけ使われる番号のことです。(number used onceの略で、ワンタイムトークンとも言うらしいです)。このため、1回だけ使えるトークン(一度しか使えないパスワード)を発行して、同じトークンを持ったユーザーが次に来たらロックするという方法は、正しいユーザーを判別するのにとても有効です。今回のajaxでは、クロスサイトリクエストフォージェリ(Cross site request forgeries,CSRF)という攻撃から守るために利用しました。

CRSF
Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行わせる攻撃手法。