1
私は金融サービスWebアプリケーションを構築しており、私の会社はfacebook認証を組み込みたいと考えています。私たちは金融界にいるので、セキュリティが最も重要です。私は統合のためにfacebook PHP SDKを使用していますが、私は本当にセッションハイジャックを心配しています。私の大学時代、私はセッションを私の周りのみんなからハイジャックしました(これは楽しいことでした)が、私のアプリケーションでこれを防ぐ方法を見つけようとしています。Facebookのセッションハイジャックの防止
私の会社では、できるだけ合理化された認証プロセスが必要なので、2要素認証のようなものは望ましくありません。しかし、Facebookのログイン後に別の情報を求めてユーザーに促すことは、これを行う最も安全な方法のようです。あなたの巧妙な人々の誰かが、プロセス全体をシンプルかつ迅速に保ちながらこれを確保するための他の方法を考え出すことができるのだろうかと思いますか?
SSLを使用してください。 SSLが答えです。 – meagar
あなたはsecurity.stackexchange.comでより良い回答を得るでしょう。 –
はい、ただし、facebook認証Cookieは平文で送信されます。私のサイトでSSLを使用しても、誰かが安全でないネットワーク上の認証Cookieを盗聴するのを防ぐことはできませんか? – user1387983