Kazuho@Cybozu Labs: HTTP 認証でログアウト処理« WEISpub - WEIS Enabler for MovableType | メイン | 今日から始める Server-side JavaScript » 2006年02月28日 HTTP 認証でログアウト処理 今日、IPA が開催した「ウェブアプリケーション開発者向けセキュリティ実装講座」に参加してきました。 その中で、高木さんが、セッションハイジャックに強い HTTP 認証と、ログアウトができるセッション Cookie とを組み合わせることができないか、という提案をされ、その際のログアウト/セッション切れ処理をどのように行うか、という点が質疑で問題になっていました。具体的には、どのようなステートの際に、正しい username/password の組に対して 401 レスポンスを送信すべきか、という話なのですが、個人的には、そのような仕組は、あまり好ましくないと思います。 とい
