[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0276] Re: IE5(MacClassic) で Cookie に関す




しろやまです。 > 私は、今回のようなことがありますから、Webアプリケーションの開発時にとにかく > Cookieだけに依存したSession管理をしないで欲しい、という立場なのです。ただ、 > これが中々理解されない(開発者にもサイト管理者にも)。で、しれったさを感じてい > ます。 これを Junnama さんに聞いても仕方ないと思いますが...、逆に Session管理に何を使えばよろしいものでしょうか? WebObjects4.x (5は使ったこと無いので) の事例でいいますと、 ・ デフォルトで URL埋め込み ・ Cookieへ埋め込みも可能 ・ 実はこっそり hidden field にも埋め込んでる という感じになってます。 URLに関しては、過去に Referer からセッションIDがばれる事が あり得るというのが問題になったことがあります。当時は「だから Cookie に入れるべきだ」なる議論がされたり、(確か倉橋さんだ ったと思いますが) SessionIDと送信元IPアドレスの対応表を用意 して、違うIPからきた場合ははねるという処理が披露されたことも あります。もちろん、hidden field はPOSTじゃないと送ってこない という弱点があります。 WOFの場合はセッションのタイムアウトが最終アクセスから1時 間となってます。この値はいくらでも変えることができます。でき れば縮めたいのですが、逆に「のばせ」と言われることも多々あり ます。 何故かというと、「ユーザは一々ログインなんかしたくないから、 可能な限り「ログインした(セッションのある)状態を残せ」」という 訳です。 HTMLでオレ認証パネルをつくってオレ認証する(そして認証に 成功したらセッションを作る)というのがそもそも問題とも言える のですが、「HTTPにある認証を、とくにDigest認証を使えばよ り安全になるし、Mac OS X で KeyChain があれば再入力の手 間も省けるから実質ログインしっぱなしと同じだ」という主張が できるときもあります(できないときも多々あります)が、HTTPでの 認証の場合、そのパネルはブラウザ固有のもので文言程度しか 変更できず、それは顧客の希望にそぐわないとか、絶対多数は Mac OS X を使ってない(^^;とかいう反論で撃墜される訳です。 # また、アプリとは離れますが、apache がいまだに Digest認証 # をexperimental のままにしてたり、IEとNetscapeで微妙に # 認証方式が違う(典拠するRFCの違い)ので、自前で実装も面 # 倒だったりもします。...全部やったけどさ。 広告屋は文句だけ言ってりゃオシアワセなののかも知れません が、(ヤクザな)プログラマとしては、「しないで欲しいと言われ ても、じゃあ何か確実に安全な策はあるのかね?」と聞きたくな ります。また URLに戻って Referer におびえろと? (^^; # もちろん、自分で実装したアプリケーションフレームワークには # 少々小細工を労しており、単にID抜かれた程度には対応しま # したけど...、自分で実装しただけに、弱点もよく分かってて、 # 無敵ではない(^^;; 短絡的なプログラマが世に多いのも存じてますが、短絡的な 対処法(「xxをするな」、「xxをやれ」)を唱えるのも問題だよなぁ っと常々思ってます、はい。 --- SHIROYAMA Takayuki PS: PCのブラウザなんてまだいいのですよ。変えてくれと言える      から。携帯がねぇ...相対 URL返すとhttps:をhttp: にして送      ってくる奴がいたりとかで頭が痛い...だからといって機種交換      しろとはいえないし...(--; --[PR]------------------------------------------------------------------ ‥…━━今年最後の大チャンス!豪華商品があなたに当たるかも!?━━…‥  ┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓  ┃V┃┃A┃┃I┃┃O┃┃&┃┃ホ┃┃テ┃┃ル┃┃宿┃┃泊┃┃券┃  ┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛ 締切り間近!⇒ http://ad.freeml.com/cgi-bin/ad.cgi?id=b4Cqh ------------------------------------------------------------------[PR]-- <GMO GROUP> Global Media Online www.gmo.jp