Content Security Policy Level 3
This version: https://www.w3.org/TR/2024/WD-CSP3-20240618/ Latest published version: https://www.w3.org/TR/CSP3/ Editor's Draft: https://w3c.github.io/webappsec-csp/ Previous Versions: https://www.w3.org/TR/2024/WD-CSP3-20240613/ History: https://www.w3.org/standards/history/CSP3/ Feedback: public-webappsec@w3.org with subject line “[CSP3] … message topic …” (archives) Github Editors: Mike West (G
安全なセッション管理を実現するために ― @IT
HTTPを使用したWebアプリケーションにおいて、安全なセッション管理を行うことは難しい問題である。タブブラウザによる画面の複数起動や、Webブラウザの戻るボタン/更新ボタンの押下といった、予期しない画面遷移に起因するバグの発生に頭を悩ませることは多いだろう。 大きな問題が発生しないならば、画面遷移の仕様上の制限をクライアントに許容してもらう選択肢もあるだろうが、不正な画面遷移を利用したセキュリティホールが存在するならば、放置しておいてよい問題ではなくなる。今回はセッション管理を安全に行うための基本的な注意点について解説していこう。 セッション固定攻撃とは何か セッション固定攻撃(Session Fixation)という脆弱性を耳にしたことはあるだろうか。脆弱性そのものの詳しい解説は本稿の趣旨ではないため割愛するが、簡潔に説明すると、以下のような手順を踏むことによりセッション情報がハイジャ
セッションとHTTPとHTTPSの関係 - せとっちの備忘録(技術系)
ログインの仕組みとセッション サイトへのログインを作るときにはセッションを利用するのが 一般的です。 認証できたらセッションにIDなんかを書き込んでおいて、 アクセスされる度にセッションの中に値が存在するかどうか チェックしたりするわけです。 で、ログインは個人情報を通信するわけだから、 HTTPではなくてHTTPS通信でやりましょう、となる訳なんですが、 ログインしたと思ったら、ログインしていない判定をされてしまう…。 これはなぜなのか、という話です。 セッションの連続性 セッション管理は通常CookieにセッションIDを渡して、 サーバに問い合わせをするとき、一緒にCookieの情報も渡して、 そのセッションIDからセッションを特定し、値を取り出したり書いたりするわけですが、 どうも最近のブラウザはHTTPSで受け取ったCookieはHTTP通信に なった時には渡さないようです。 つま
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
