Session管理してる? (221レス)
上
下
前
次
1-
新
39
(2)
:
名無しさん@おへそいっぱい。
2001/06/25(月)00:25 ID:???
AA×
[240|
320
|
480
|
600
|
100%
|
GIF
|
べ
|
レス栞
|
レス消
]
39: 名無しさん@おへそいっぱい。 [sage] 2001/06/25(月) 00:25 ID:??? そう、一意性の問題。普通はシーケンシャルに採番して一意性を 維持したままシャッフルすると思われる。ちょっと揚げ足を取っ てみただけ。 現行のステートマネージメントメカニズムは、どの方法も SSL と 組み合わせないとセキュリティ的に問題ありだね。というか そんなの Web の常識だったはずなのに、なぜ突然ひろみちゅが 騒ぎ始めたのか分からんよ。 URL Rewrite/HIDDEN フィールド ソースを見れば一目瞭然。URL 欄にも表示される。ジャンプ先 サイトでは Referer ヘッダで参照可能 (ブラウザの種類と バージョンにもよる)。自サイトを SSL 化しても Referer ヘッダは漏れてしまうかも (なりすまし接続は無理だろうが)。 Cookie 丸見えでない分 URL Rewrite/HIDDEN フィールドよりまし だが平文であることには変わりない。プロキシサーバなら 余裕で盗める。期限付きのはファイルで残る。 # 昔、クライアント側の IP アドレスを使ってセッション ID # にハッシュかければセキュリティもバッチリでは? と発明 # しかけたが、程なくプロキシの存在を忘れているのに気づ # いた。 http://medaka.5ch.net/test/read.cgi/php/990627898/39
そう一意性の問題普通はシーケンシャルに採番して一意性を 維持したままシャッフルすると思われるちょっと揚げ足を取っ てみただけ 現行のステートマネージメントメカニズムはどの方法も と 組み合わせないとセキュリティ的に問題ありだねというか そんなの の常識だったはずなのになぜ突然ひろみちゅが 騒ぎ始めたのか分からんよ フィールド ソースを見れば一目瞭然 欄にも表示されるジャンプ先 サイトでは ヘッダで参照可能 ブラウザの種類と バージョンにもよる自サイトを 化しても ヘッダは漏れてしまうかも なりすまし接続は無理だろうが 丸見えでない分 フィールドよりまし だが平文であることには変わりないプロキシサーバなら 余裕で盗める期限付きのはファイルで残る 昔クライアント側の アドレスを使ってセッション にハッシュかければセキュリティもバッチリでは と発明 しかけたが程なくプロキシの存在を忘れているのに気づ いた
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 182 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
ぬこの手
ぬこTOP
0.040s
