T.Teradaの日記 - ログイン直後のレスポンスの返し方
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ
びぼうろく―@ITの無神経さ(激辛)
≪ 2008.09┃ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 ≫ せっかくIPAが有用なガイドラインを出したばかりと言うのに、こんな無責任な記事を掲載するなんて...。 @IT無神経過ぎます。 今夜分かるSQLインジェクション対策 - @IT @ITって星野君のWebアプリほのぼの改造計画など、読み物として面白くためになるものを掲載するクセに、啓蒙すべき記事で嘘とまでは言わないが不十分な対応を平気で書くので困ります。 まず第1にいけないのは、対処療法的な対応を否定していない事。 この記事では、3つの攻撃手法を、第1の攻撃に対して記号のサニタイズで対応する事を提示し、それを回避する2種類の新たな攻撃に対して新たなサニタイズ処理を提案すると言う形を取っていま
はてなセリフタイトル欄で危険なタグが使える件について
http://hatena.g.hatena.ne.jp/hatelabo/ </a><a href="http://anond.hatelabo.jp/20061130233021" style="color: yellow;" onclick="javascript:alert('test');">test こんなんとか普通に通った。はてのくん対策よろ。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
