2007-12-11

ソースつき解説。有難いです。 セッションデータがファイルからクッキーに行くことによるメリットは多々あります。 一番大きいところでは、アプリケーションサーバの分割（つまりスケール）が容易になること。 あとは公式ブログの2.0機能ダイジェストにもあるように、軽くなる、メンテが簡単になるなど。 *1 でもセキュリティはやっぱり心配。digestは改竄防止にはなるけれど、データの中身が覗かれたり、secret(digestの鍵）を計算されてしまうリスクは増えています。 対策として考えられるのは、以下でしょうか。列挙してみると基本的なことばかりなのですが。 cookieにはsecureオプション dataには漏洩してはまずい情報はなるべく保存しない ↑と関連してCSRF対策は念入りに secretを十分長くとることや、定期的更新など なんか勘違いとか漏れとかあったらご指摘お願いします。 *1:携帯端

[John_Kawanishi]

｢bogusnewsがリアルっぽい（ネタと分かりにくい）嘘エントリをあげる→はてブで感動したの嵐→『いやこれbogusnewsでしょ？実話だと思ってる人もいるし』→「実話じゃなくてがっかり」という感想→『いやだからこれbogusne

[kurokuragawa]

「残念ながらネタとしては高度すぎて（自分も含め）ちゃんと笑える人が少なかった」自分も難物と見てやり過ごしてしまった口