タグ

セッションに関するArcWaterCashのブックマーク (4)

  • ステートフル ステートレスとはどういうことか - Sojiro's Blog

    コンポーネント間のやり取りにはステートフル/ステートレスという考え方がある。FTPではステートフルなやり取りが、HTTPではステートレスなやり取りが採用されいるが、それぞれの特徴についてまとめてみる。 セッション状態(アプリケーション状態) システムにログインしてからログアウトするまでの一連の操作をセッションと呼ぶ。その一連の操作の中のそれぞれの状態をセッション状態と呼ぶ。 ステートフル ステートフルなやり取りではサーバーはクライアントのセッション状態を保持している。 メリット やり取りが完結に済む それによりネットワークの帯域を節約できる デメリット クライアントの状態を都度把握しておかなければいけないのでクライアントが増えると負荷も増える サーバーを複数台設置する場合にはそれぞれのサーバー間でクライアントの状態を同期しなければいけない これらの理由によりスケールアウトには向かない ステ

    ステートフル ステートレスとはどういうことか - Sojiro's Blog
  • やさしいセキュリティ講座(8) トラッキングCookie

    やさしいセキュリティ(トラッキングCookie) スパイウェアの分類の1つに「トラッキングCookie(トラッキング・クッキー)」というものがあります。このトラッキングCookieがどのようなもので、どのように利用されているのかを説明します。 トラッキング トラッキングCookieの「トラッキング」とはインターネット用語的に言うと「行動追跡」という意味になります。足跡を判断するというような意味でしょう。では、どのような仕組みでユーザの追跡を行うのか次の図を見てください。 ここで「広告サーバ」はブラウザで表示されているページの中にあるバーナー広告を提供しているサーバを指します。 最初にAというサイトを訪れたとき、広告サーバは自社のCookieの有無を調べます。 Cookieが無ければ、新たにIDを割り当ててCookieを保存させます。 このとき広告サーバにはIDとAサイトの

  • JavascriptのMath.random()でユーザートラッキングができるという話 - kogelab::memo

    表題の件について。 地味な話ですが、javascript(というかECMAの仕様)にあるMath.random()には、乱数のシードを与える方法が無いようです。 そんなわけで、われわれ一般市民は各ブラウザが独自に実装している、謎のシードで初期化された謎のアルゴリズムで作られた乱数を通常使うわけですが。 Mozillaからこんなの出てた。 曰く、Math.random()のシードによる初期化は、ブラウジングセッションごとに1度しか行われないと。 で、シードはまあ、かぶる率そんなに高くなさそうなので、そのシードをUSERの(擬似的な)ID代わりにしてしまえば、ユーザーのトラッキングができるよーん、とのこと。 はじめ読んだとき、「おおー、かっけー!」と思ったんですが、ちょっと待て。 シードって外から取れんのか。 というわけで、色々調べたところ、各ブラウザは(多分IEも)線形合同法による擬似乱数を

    JavascriptのMath.random()でユーザートラッキングができるという話 - kogelab::memo
  • 「セッション管理」のすべて

    Webにアクセスして買い物をしたり,銀行口座に振り込んだりするといったことは今や当たり前。こういった便利なWebサイトを陰で支えているのが「セッション管理」だ。Webサイトでの処理が複数画面をまたいだときにきちんと引き継がれるようにする。ときには,間違った使い方をしたユーザーをフォローし,ネット上の脅威からユーザーを守る。Webアプリを実現するうえでネットワークに必須の「セッション管理」のすべてを理解しよう。 プロローグ [「セッション管理」って何だろう] 処理のつながりと状態を管理,Webアプリに必須のしくみ ステップ1 [基のしくみ] Webブラウザに情報を預けて,アクセス時に送信させる ステップ2 [セキュリティ対策] セッションIDを暗号化,URL埋め込みは危険 ステップ3 [携帯電話のWebアクセス] パソコンとは異なるしくみ,URLの利用が一般的

    「セッション管理」のすべて
  • 1