【PHP】フレームワー ..
[
2ch
|
▼Menu
]
■コピペモード
□
スレを通常表示
□
オプションモード
□このスレッドのURL
■項目テキスト
263:nobodyさん 09/01/31 07:40:31 >>262 おまいさんの理解が浅いということだけはわかった。 何も書かないと単なる煽りと思われるので一つだけ例示すると、 > もし、非セキュアサイトでのセッションIDに関連付けられていたら、そのセッションIDを > 盗聴して使えば、他人がセッションの情報を取得することが可能になる。 それは実装が甘いだけ。 非セキュアサイトに関連付けられたセッションIDを使いまわしたとしても、 たとえば、 「セキュアな情報を表示するためのトークンを持っていなければ表示しない」 という基本的なロジックでラップしてあればセキュアな情報を見ることはできない。 情報のキーになるのはセッションIDだけじゃない。普通にクッキー使うだろ。 264:nobodyさん 09/01/31 11:43:58 >セキュアな情報を表示するためのトークン それって一般にはセッションIDって呼ぶと思うの。 265:nobodyさん 09/01/31 11:53:41 いいえ 266:nobodyさん 09/01/31 12:16:29 おせっかいなオレが例を出したるわ。 ・SSL下でログインに成功したら、トークン($uniq)を育成 ・非セキュアなセッションでもいよいので$_SESSION['tokens'][] = sha1($uniq); ・$uniqをsecure属性をつけて、setcookie ・セキュアサイト内では、sha1($_COOKIE['uniq'])がセッションtokensに含まれるか検証。だめなら再認証に飛ばす すくなくとも$uniqをセッションIDとは言わない。
次ページ
最新レス表示
スレッドの検索
類似スレ一覧
話題のニュース
おまかせリスト
▼オプションを表示
レスジャンプ
mixiチェック!
Twitterに投稿
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch
5389日前に更新/131 KB
担当:undef