[過去ログ] スレ立てるまでもない質問はここで 161匹目 (1002レス)
上下前次1-新
抽出解除 レス栞
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
225(2): 2022/09/28(水)13:02 ID:kZGixsXA(2/2) AAS
>>222
両方です。
一般的なサイトで、ログイン状態が保存されている場合、
ブラウザ側のどこにどういう形で保存されているのか知りたかったということです。
たとえばyahoo.co.jpのクッキーと値一覧を表示してみても、IDやPWらしきものは見えないので。
つまり、>>223のおっしゃる通り、別のもっと難読化された文字列として保存されているということなのですね。
たとえばですが、投稿型のwebシステムで不正なJavascriptを投稿し、閲覧者に実行させることができてしまうセキュリティーホールがあったとして、
それを悪用して、そのサイト用にブラウザに保存されているCookieをまるっと全部どこかに送信するようなことができたとしても、
イマドキのちゃんとしたサイトであれば、そのせいで不正ログインやその他悪いことに使われる恐れはあまり無いということですか?
228: 2022/09/28(水)17:35 ID:jG+wS9Ro(1) AAS
>>225
外部リンク:developer.mozilla.org
Set-Cookie時にHttpOnlyとSameSiteを指定しておけば
ブラウザの脆弱性でも無い限りXSSでCookieを丸っとどこかに送信されるということはない
丸っと送信された場合は単純なセッションID以外の追加の対策を講じてない限りセッションハイジャックにつながる
229: 2022/09/28(水)18:30 ID:RIdEQsh/(1) AAS
>>225
>投稿型のwebシステムで不正なJavascriptを投稿し、閲覧者に実行させることができてしまうセキュリティーホールがあったとして
この時点でもうイマドキのちゃんとしたサイトじゃねーよ!というのは
ツッコんではいけないのかな・・・
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 0.040s