【PHP】フレームワー ..
[
2ch
|
▼Menu
]
■コピペモード
□
スレを通常表示
□
オプションモード
□このスレッドのURL
■項目テキスト
203:nobodyさん 09/01/30 08:27:30 だから、個別のサービス思想に絡んだ設計の問題なわけでそ。 アマゾンのように、長いセッションを維持するサイトでは、重要な操作の前に、 必ずパスワードを確認させて、セキュアなセッションは短くしている。 Yahooでもクッキーを数種類使いつつ、クラムというフォーム追跡を埋め込んで、 通常ログイン状態とセキュアログイン状態を識別、追跡している。 だから、パスワードの再確認を求められるケースとそうじゃないケースがある。 そういうギミックを持ってないところは、ショップなどのように金銭が絡むところは まるっとHTTPSで実装する。 > 流行の一時トークンも、ぶっちゃけクッキーやらPOSTだったら一緒に盗まれるんじゃないの。 それはどういうレイヤーで話をしてるの? プロトコルの欠陥?ネットワーク盗聴?ブラウザーのバグ? 204:nobodyさん 09/01/30 08:44:58 >>202 盗まれても良いための「ワンタイム」トークンじゃないの? 205:nobodyさん 09/01/30 10:08:00 >>203 クッキーが盗まれる、っていう現象で想定のメインは「ネットワーク盗聴」じゃね? 他にもあるのか俺は知らんが。 例えばXSSで盗まれるのであればSSLなんて関係ないわけだし >>204 毎回セッションIDを変えるってので兼用できてそうな気がするから、併用して 冗長にしてチェック、かな? どのみちタイムアウトの設定次第の様な気がする。
次ページ
最新レス表示
スレッドの検索
類似スレ一覧
話題のニュース
おまかせリスト
▼オプションを表示
レスジャンプ
mixiチェック!
Twitterに投稿
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch
5391日前に更新/131 KB
担当:undef