1. http/セッションID
徳丸本 P.47
セッションIDに求められる条件
- 第三者がセッションIDを推測できないこと
- 第三者からセッションIDを強制されないこと
- 第三者にセッションIDが漏洩しないこと
1,3 は同等の内容にも思えるが、著者の意図は違うらしい。
- 1 は生成する乱数の質を指している。
- 3 はcookie 発行の際の属性指定の不備などを指している。
- 盗聴、XSS, サーバ側の脆弱性、その他も。
盗聴はHTTPSを使うことで防ぐことにする。
-- ToshinoriMaeno 2012-08-06 06:52:36