T.Teradaの日記 - ログイン直後のレスポンスの返し方
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ
10 秒でできる!図解・Web 上でのプライベートモードを安全にするたったひとつのすごい方法 - Kentaro Kuribayashi's blog
「Web 上でのプライベートモードは危険なモードですよ」にて、プライベートモードにしているからと安心していると、リファラによって思わぬ情報流出が起こることがあるという問題が指摘されています。同エントリの説明によると、たとえばはてな RSS をプライベートモードで運用していても、 1: http://r.hatena.ne.jp/antipop/これはひどい/なんてなリファラがアクセス解析に残されることにより、ヲチ先に「id:antipop が[これはひどい]フォルダに入れてヲチっている」ということがバレてしまうというおそれがあるとのこと。これは大変に重大な危険性を孕んだ問題です! しかし、これはなにもはてな RSS の問題ではなく、リファラというものがある以上、アクセス解析・ブックマークサービス・プライベートモードで書いているブログ等、どのサービスでも起こり得る問題です。自分の身は自分で守
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
