2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【news】ニュース速報運用情報676【ν】

757 :動け動けウゴウゴ2ちゃんねる:2010/12/12(日) 17:27:06 ID:v8NZG3VR0
BE鯖の抱える表面的な問題点
 ・Cookieが一時的なものではなく、パスワードを変えない限り半永久的に使えてしまう
 ・Cookie中のデータが暗号化されていない。メールアドレスは平文のまま、
  認証コードの生成式も流出しているのでパスワードの逆算も可能
 ・サーバーサイドスクリプトが穴だらけでXSSの温床

根本的な問題点
 ・Cookie「のみ」で認証していること
  例えばIPアドレスも含めて認証するようにすれば第三者が成りすますことは困難になる
  そこら辺はここでも指摘されている
  http://blog.livedoor.jp/dankogai/archives/50959103.html
  Cookieのみで認証する仕組みを変えれば、前述した表面的な問題点はある程度無視できる
  XSSを根絶やしにするよりもよっぽど現実的な策であるはず

188 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)