cookieを弾くと危うい (#1191471) | Googleがcookie有効期間を2年に短縮 | スラド
なぜかcookieの使用を過剰に嫌う人がいるようですが、cookieを使用しないように設定したり、cookieを使用できないブラウザを利用すると、セキュリティ面での不安要素が増えることになります。 インタラクティブなWebサイトを作る上でセッション管理は必須の要素で、セッションキーは必ずどこかで持ち回る必要が生じます。 Webアプリケーションを作るためのほとんどのフレームワークも、セッション管理を自動できる機能を提供しています。 通常はセッションキーをcookieに持たせるのですが、cookieが利用できない場合に多く利用されるのがURLへのセッションキーの埋め込みです。 そういった作りになっている場合、cookieが利用できるブラウザでは特に気にする必要はありませんが、cookieが無効の場合に、セッションキーがWebブラウザの履歴、Proxyサーバのログなどに残るようになるだけでなく、
大企業の人じゃないけど (#1151256) | 大企業にスパムボット蔓延 | スラド
ゼロデイ攻撃への対応は、(大企業の方も含め)皆さんどうされているのでしょうか? OSのパッチどころかウィルス対策ソフト等のアップデートも間に合わないタイミングの場合とか。。。 必要ないサービスはインストールしない、無駄なポートを開かない、意味なく管理者権限でプログラムを実行しない、などごく普通の運用をしていれば、世間で騒いでるゼロデイ脆弱性の99%は無害だよ。 # 残り1%も防ごうと思ったらコストがえらいことになるから、あとは # 大切なデータはWANからアクセスできる場所に置かないなどの対策になる。 # 規模が大きくなると、すべてのマシンを守るのは現実的でなくなる。 今時の侵入は(実行ファイルを踏ませるものも含めて)ブラウザやメールを窓口にすることが圧倒的に多いわけだから「変なファイルを開かない」のがもっともコストパフォーマンスの良い(はずの)対策だと思う。 # 怪しいファイルを平気で開
Re:多くなってもよいのでは (#1079325) | HTTPの同時接続数はどうあるべきか? | スラド
それも時代の流れではないかと。 HTTP/1.1(RFC2080やRFC2616)が発行されたのはブロードバンドには程遠い時代のことです。 その頃の推奨セッション数が最大2だったとしてそれが現代にそのまま足枷のように残るのはいかがなものでしょうか。 たしかにむやみやたらにTCPコネクションを増やすのはサーバ負荷に対して悪影響を与えますし、お行儀が悪いと感じます。ですが近年WEBサービスを行っているサーバの数も性能も過去に比べ激増しているのでこの傾向は薄まる方向へ向いていると思います。 よほどの大人気サイトでなければ致命的に高負荷になることもないでし なぜ「同時に複数のコネクションを張りたい」のか、その理由は、毎回接続・切断して「リクエスト→結果受け取り→リクエスト→結果受け取り」を繰り返してたら、待ち時間があるために通信利用率が減って全体でのスループットが落ちるから。 同時に2本接続しても
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
