「安全なWebアプリケーションの作り方」を読んでセッションを復習してみた - As a Futurist...
タイトルが長くて略称があれば知りたい感じの「安全な Web アプリケーションの作り方」を暇を見つけて読んでいます。今まであいまいなままだった部分を順を追って説明してくれるので、本当に助かります。Web アプリ作りの初心者は卒業したかなーという人は必ず目を通しておくと良いと思います。 Cookie を用いたセッションについて復習 「HTTP はステートレスで」とかいう話はよく聞きますが、じゃあどうやってセッション管理するのがいいの?って話をよく考えると体系的に聞いたことがなかった!というわけで、この本で文字通り体系的に学び直すことができました。 その中でも、「セッション ID の固定化」という話題はちゃんと分かってなかった部分があったので、こちらのサイトを参考に PSGI なアプリケーションを作ってみました(僕の書いたアプリ自体はその他の脆弱性に溢れていますがw)。コードはエントリの最後に。
Tutorial - CGI::Sessionのさらに広範囲に渡って記述されたマニュアル - perldoc.jp
名前¶ Tutorial - CGI::Sessionのさらに広範囲に渡って記述されたマニュアル 状態メンテナンスの大要¶ HTTPはステートレスなプロトコルですので、WEBサイトに対するそれぞれの webサイトに対するクリックはwebサーバーによって新しい訪問として扱われます。 サーバーは直前の訪問とは無関係です。したがって全てのそれ以前のリクエスト からの状態は失われます。このことによってショッピングカートや、 ログイン認証ルーチン、セキュリティー上の制限を設けるようなサービスなどは web上で不可能になります。よって人々はHTTPが我々を絶望的な状況に投げ入れる ことに対して何らかの対策を取らなければなりませんでした。 我々を救うべく、一定期間ユーザーのセッションを保つHTTPクッキーや クエリ文字列と言った技術が誕生しました。クッキー及びクエリ文字列だけでは RFC 2965, S
CGI::Sessionの使用例 - :: Cepheid ::
説明 ▲CGI::Sessionの使用例(Zipファイル) CGI::Sessionのバージョン4.02の使用例です。データベースは使わずに、テキストファイルにセッション情報を記録する一番単純なパターンです。 サンプルは以下のファイル・ディレクトリで構成されています。 login.cgi auth.cgi other.cgi logout.cgi sessionディレクトリ 尚、セッションファイルを記録するsessionディレクトリのパーミッションは書込可能な権限にしないとエラーになります。また一部で3.xx環境とは互換性がない関数を使用しています。(logout.cgiで4.xx環境で導入された新しい関数を使用) 画面遷移は、login.cgi → auth.cgi → other.cgi → logout.cgi を想定しています。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
