【PHP】フレームワー ..
[
2ch
|
▼Menu
]
■コピペモード
□
スレを通常表示
□
オプションモード
□このスレッドのURL
■項目テキスト
262:nobodyさん 09/01/31 04:23:52 クッキーはサイズの制限があるから結局セッションを使うとして、 そのセッションをどうやって実現しているかだ。 セッションIDの格納にクッキーを使う場合。 非セキュアサイトでのセッションIDは盗聴されるから 非セキュアサイトでのセッションIDと、セキュアサイトのセッションIDは別に持たないといけない。 (セキュアサイトのセッションIDはセキュアサイトでしか送信されない。) 問題は、セキュアサイトでセッションに格納した情報が、非セキュアサイトとセキュアサイトの セッションIDのどちらに関連付けられているかということ。 もし、非セキュアサイトでのセッションIDに関連付けられていたら、そのセッションIDを 盗聴して使えば、他人がセッションの情報を取得することが可能になる。 そもそも、セキュア、非セキュア、二つのセッションIDを持つことがPHP or フレームワークで可能なのか?という問題もある。 263:nobodyさん 09/01/31 07:40:31 >>262 おまいさんの理解が浅いということだけはわかった。 何も書かないと単なる煽りと思われるので一つだけ例示すると、 > もし、非セキュアサイトでのセッションIDに関連付けられていたら、そのセッションIDを > 盗聴して使えば、他人がセッションの情報を取得することが可能になる。 それは実装が甘いだけ。 非セキュアサイトに関連付けられたセッションIDを使いまわしたとしても、 たとえば、 「セキュアな情報を表示するためのトークンを持っていなければ表示しない」 という基本的なロジックでラップしてあればセキュアな情報を見ることはできない。 情報のキーになるのはセッションIDだけじゃない。普通にクッキー使うだろ。
次ページ
最新レス表示
スレッドの検索
類似スレ一覧
話題のニュース
おまかせリスト
▼オプションを表示
レスジャンプ
mixiチェック!
Twitterに投稿
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch
5385日前に更新/131 KB
担当:undef