[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[harden-mac:0276] Re: IE5(MacClassic) で Cookie に関す
- To: harden-mac@xxxxxxxxxx
- Subject: [harden-mac:0276] Re: IE5(MacClassic) で Cookie に関す
- From: SHIROYAMA Takayuki <puresnow@xxxxxxx>
- Date: Sat, 21 Dec 2002 11:12:45 +0900
しろやまです。
> 私は、今回のようなことがありますから、Webアプリケーションの開発時にとにかく
> Cookieだけに依存したSession管理をしないで欲しい、という立場なのです。ただ、
> これが中々理解されない(開発者にもサイト管理者にも)。で、しれったさを感じてい
> ます。
これを Junnama さんに聞いても仕方ないと思いますが...、逆に
Session管理に何を使えばよろしいものでしょうか?
WebObjects4.x (5は使ったこと無いので) の事例でいいますと、
・ デフォルトで URL埋め込み
・ Cookieへ埋め込みも可能
・ 実はこっそり hidden field にも埋め込んでる
という感じになってます。
URLに関しては、過去に Referer からセッションIDがばれる事が
あり得るというのが問題になったことがあります。当時は「だから
Cookie に入れるべきだ」なる議論がされたり、(確か倉橋さんだ
ったと思いますが) SessionIDと送信元IPアドレスの対応表を用意
して、違うIPからきた場合ははねるという処理が披露されたことも
あります。もちろん、hidden field はPOSTじゃないと送ってこない
という弱点があります。
WOFの場合はセッションのタイムアウトが最終アクセスから1時
間となってます。この値はいくらでも変えることができます。でき
れば縮めたいのですが、逆に「のばせ」と言われることも多々あり
ます。
何故かというと、「ユーザは一々ログインなんかしたくないから、
可能な限り「ログインした(セッションのある)状態を残せ」」という
訳です。
HTMLでオレ認証パネルをつくってオレ認証する(そして認証に
成功したらセッションを作る)というのがそもそも問題とも言える
のですが、「HTTPにある認証を、とくにDigest認証を使えばよ
り安全になるし、Mac OS X で KeyChain があれば再入力の手
間も省けるから実質ログインしっぱなしと同じだ」という主張が
できるときもあります(できないときも多々あります)が、HTTPでの
認証の場合、そのパネルはブラウザ固有のもので文言程度しか
変更できず、それは顧客の希望にそぐわないとか、絶対多数は
Mac OS X を使ってない(^^;とかいう反論で撃墜される訳です。
# また、アプリとは離れますが、apache がいまだに Digest認証
# をexperimental のままにしてたり、IEとNetscapeで微妙に
# 認証方式が違う(典拠するRFCの違い)ので、自前で実装も面
# 倒だったりもします。...全部やったけどさ。
広告屋は文句だけ言ってりゃオシアワセなののかも知れません
が、(ヤクザな)プログラマとしては、「しないで欲しいと言われ
ても、じゃあ何か確実に安全な策はあるのかね?」と聞きたくな
ります。また URLに戻って Referer におびえろと? (^^;
# もちろん、自分で実装したアプリケーションフレームワークには
# 少々小細工を労しており、単にID抜かれた程度には対応しま
# したけど...、自分で実装しただけに、弱点もよく分かってて、
# 無敵ではない(^^;;
短絡的なプログラマが世に多いのも存じてますが、短絡的な
対処法(「xxをするな」、「xxをやれ」)を唱えるのも問題だよなぁ
っと常々思ってます、はい。
---
SHIROYAMA Takayuki
PS: PCのブラウザなんてまだいいのですよ。変えてくれと言える
から。携帯がねぇ...相対 URL返すとhttps:をhttp: にして送
ってくる奴がいたりとかで頭が痛い...だからといって機種交換
しろとはいえないし...(--;
--[PR]------------------------------------------------------------------
‥…━━今年最後の大チャンス!豪華商品があなたに当たるかも!?━━…‥
┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓
┃V┃┃A┃┃I┃┃O┃┃&┃┃ホ┃┃テ┃┃ル┃┃宿┃┃泊┃┃券┃
┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛
締切り間近!⇒ http://ad.freeml.com/cgi-bin/ad.cgi?id=b4Cqh
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp