http://www.machu.jp/posts/20110722/p01/
【スクリプトインジェクション対策18】ログイン処理を正しく実装する | gihyo.jp
言うまでもなくログイン処理はセキュリティ上最も重要な処理です。しかし、ログイン処理が正しく行われていないサイトも少なくありません。例えば、PayPalのログインページがスクリプトインジェクションに脆弱であったことは有名です。ログインページがスクリプトインジェクションに脆弱であると、簡単にユーザ名とパスワードを盗めてしまいます。PayPalのログインページはHTTPSで保護されていましたが、スクリプトインジェクションに脆弱ではHTTPSは何の役にも立ちません。 ログインページがスクリプトインジェクションに脆弱であるのは論外であるとしても、ログインの実装方法が正しくない場合が少なくありません。ログインに成功した場合、新しいセッションIDを割り当てるべきです。これは、「セッションIDを頻繁に変更する」のエントリでも解説したように、セッションIDの盗聴や固定化などから防御するために行います。 W
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
推測の困難なパスワードを設定してもWindowsのスクリーンロックが数十秒で強制解除される?
