webのログイン管理的なもの (#1744334) | メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI | スラド携帯対応・変なファイヤーウォールを無視できるとして、今回の件では関係ないものもありますが、対策はこんな感じでしょうか。 専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。 ベーシック認証、クライアント証明は考慮外です。 step0: ログインIDとパスワードをURLに含めて持ち歩くのをやめる step1: パスワード送信をPOSTにしてPOSTのみ受け付ける step2: ログイン画面以外は、パスワードを利用せずにcookieを使う step3: 全コンテンツでTLS・有効で信頼済みの認証局発行のサーバー証明書を使う step4: cookieにはsecureフラグを立てる step5: cookieには基本的にセッションIDのみを保存する step6: セッションIDをjsessionidやphpsessionidなどでURIに含めない。受け付
