HTTPセッションをクッキーでのみ維持していると、セキュリティ上の問題を説明することができますか?セキュリティ上の問題:クッキー内でのみHTTPセッションを維持する
0
A
答えて
0
セッション管理は、Cookieのみを使用してコーディングすることができます。セッション情報を管理するには多くの部分が必要になります。 クッキーの有効期限のタイムスタンプ、セキュアなクッキー、セッションID生成などを管理するなどの問題が発生することができます場合は、任意の流れ -
- クッキーが盗までき&を再利用する権限を引き起こす可能性がありますクッキーの
- 操作が&不正 アクセスをエスカレーション
0
あなた自身のセッションは安全ではありません。共有秘密を持っている人のためにアプリケーションに穴を開けてください。しかし、それは耐えられる。誰かがセッションIDを取得したときに問題が発生します。これを避けるためには、あなたのIDはuuid-quality(本当にランダム)であり、できるだけ短期間でなければなりません。
また、誰かがあなたのドメインに(クッキーが有効な)JSを挿入できる場合、あなたはあなたのクッキーを読んで、誰かのセッションにアクセスすることができます。
セキュリティ関連の処理(金銭の授受、電子メール/パスワードの変更)を伴う操作の場合は、ユーザーセッションを確認するためにパスワードを再度尋ねる必要があります。
ロックアウトボタンをクリックすると、ローカルのCookieだけでなく、サーバーのセッションも破棄する必要があるため、Cookieが読み込まれていてもセッションが破棄される可能性があります。
関連する問題
- 1. ヘッダーのリダイレクトとセッションとセキュリティの維持
- 2. jsoupで変数のクッキーとセッションを維持する方法は?
- 3. ログイン後にHTTPセッションを維持する
- 4. Httpセッションの問題
- 5. クッキーを保存せずにcURL HTTPセッションを維持する方法は?
- 6. Azureのセキュリティ上の問題
- 7. Jenkinsのセキュリティ上の問題
- 8. JavaScriptのセキュリティ上の問題?
- 9. WCFのセキュリティ上の問題
- 10. ユーザーがjavascriptを使ってクッキーにアクセスすることをセキュリティ上の問題
- 11. CakePHPで行われたウェブサイト上の2つの異なるドメイン間でセッションを維持する際の問題
- 12. セキュリティ上の問題、PHP/mysql
- 13. BreezeJS SaveChanges()セキュリティ上の問題
- 14. CakePHPのウェブサイトでセッションを維持することに問題があります
- 15. node-http-proxy経由のクッキーベースのセッションを維持する
- 16. AuthenticationTokenとオーセンティケータでhttpセッションを維持する
- 17. バンプスイートでHTTPセッションを維持する方法は?
- 18. プロダクションでログインしてセッションを維持できるHTTPクライアント
- 19. Mechanizeリクエスト間でクッキーを維持する
- 20. NightmareJSインスタンス間でクッキーを維持する
- 21. セッション内で検索フォームのフィルタを維持する
- 22. データベースのセキュリティを維持する
- 23. PHPのReadfileメソッドのセキュリティ上の問題
- 24. セッションを維持するSharedPreferences
- 25. WPFアプリケーションのセキュリティ上の問題
- 26. Amazon Webサービス&Androidのセキュリティ上の問題
- 27. HTTP GETリクエスト用のボタンの作成:ロケールの維持に関する問題
- 28. Flex HTML Post Error - セキュリティ上の問題?
- 29. 電子メール - 「From」フィールド:セキュリティ上の問題
- 30. セキュリティ上の問題ASP.NET統合認証
あなたは何を意味しているのですか? 「クッキーでのみセッションを維持する」という言葉は、あなたが達成しようとしていることとあなたがどのような心配をしているのかを十分に理解しているわけではありません。あなたの状況をより詳しく記述してください。 – Cheekysoft