エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
携帯電話セッションハイジャック問題 - LukeSilvia’s diary
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
携帯電話セッションハイジャック問題 - LukeSilvia’s diary
■何が問題なのか たとえば、ログインしたユーザーがAさんがマイページにいるとします。そうすると、URL... ■何が問題なのか たとえば、ログインしたユーザーがAさんがマイページにいるとします。そうすると、URLにはセッションがついています。そのセッションつきのURLを友人Bさんの携帯電話に送信し、BさんがそのURLでアクセスすると、Aさんのマイページが表示されてしまう。 ■解決策 a.. モバゲー式でやります a.. 対策1 履歴書の編集画面等への他人に編集されてはこまるページは個体識別番号を聞き、その個体識別番号がセッションIDが保持するユーザーIDとマッチするか確認する。 b.. 対策2 セッション生成時にユーザーエージェント情報を取得し、セッション情報と結びつけます。これで、機種が違えばセッションハイジャックはありえません。 対策1を実装することにより、他人に編集されてはまずいページをガードします。 対策2を実装することにより、「セッションハイジャックできないかも??」と思わせることができ