私は企業向けに安全なウェブサイトを開発しています。すべての既知の脆弱性から完全に保護されることを望みます。私はセキュアなクッキーを作成し、HTTPOnlyを有効にしましたが、その例ではクッキー値をセッションIDとして使用していました。理解できませんでした。この方法を使用しないと脅威になりますか?セッションIDをクッキーに保存するという概念は何ですか?
答えて
セッションIDをクライアントに送信し、そのクライアントからの要求をセッションに一致させるには、サーバーに戻す必要があります。
AFAIKセッションIDを渡すには、クッキーまたはパラメータ(ほとんどの場合、取得要求をサポートするためのURLパラメータである)として、2つの方法があります。セッションIDをパラメータ経由で送信することは、脆弱ですが、攻撃者がクッキーと同じことを行うのは難しいことではないにしても、事前に作成されたセッションid(セッション固定)でリンクを提供できるからです。
URLパラメータを介してセッションIDを送信するだけでなく、セキュリティ上の問題が発生します。誰かがURLをコピーして誰かに送ると(「これを見てね」)、ウェブ上のどこかに投稿しているとします。セッションが存在する限り、そのリンクにアクセスする全員が同じセッションを使用し、互いに反復する。確かに、セッション(IPアドレス、MACアドレスなど)に関係なくユーザーを識別する方法はありますが、これらの方法は実現できないか、または他の制限を課すことがあります。
すばらしい説明のためのおかげです。その後、私はセッションIDをjavaサーブレットのクッキーによって渡されたセッションを作成する必要があり、作成したセッションIDをさらに操作する必要があります。 – user2695448
@ user2695448アプリケーションでセッションにアクセスする必要がある場合は、セッションIDをクッキーに渡し、Cookie値に基づいて各リクエストをそのセッションに関連付けます。これは、通常、Tomcatなどの標準のWebサーバーセッションを必要としない場合、つまりすべてが読み取り専用である場合、またはアプリケーションがビューの状態/セッション全体をクライアントに渡して戻す場合は、その必要はありません。 – Thomas
- 1. CNTKTextFormatDeserializerの概念とは何ですか?
- 2. 概念とは何ですか?
- 3. Zend Framework 2 - クッキーの概念
- 4. オブジェクトパーシスタンスの概念は何ですか?
- 5. ユーザー名とユーザーIDはどこに保存されますか?セッションやクッキー?
- 6. Photon Unity Networkingのロビーとルームという概念の違いは何ですか?
- 7. 論理データモデルと概念データモデルの違いは何ですか?
- 8. ドメインモデルと概念モデルの違いは何ですか
- 9. binとgenの概念の違いは何ですか?
- 10. なぜHTTPにセッションの概念がないのですか?
- 11. 概念的には、Android StudioのLogcatとは何ですか?
- 12. IDクッキーにカスタムデータを保存する
- 13. Django:ユーザーIDをクッキーに保存する
- 14. 「ワーカー」という概念はプログラミングにおいて何を意味しますか?
- 15. PHP session_startクッキーはセッションIDを保存しません
- 16. Anecessと同等の概念を持つAnstatesは何ですか?
- 17. この概念は何と呼ばれていますか?
- 18. Passport認証の一意のセッションIDの概念
- 19. 分散システムにおけるAmbassadorの概念は何ですか?
- 20. express req.localsとres.localsの概念的なベストプラクティスは何ですか?
- 21. このURL文字列の概念とは何ですか?
- 22. ここで使用するpreg_matchの概念は何ですか?
- 23. セッションにIDを保存する
- 24. セッションとクッキーの両方に情報を保存する
- 25. セッションにユーザーIDを保存
- 26. Java URIResolverの概念はC#と.NETに存在しますか?
- 27. SilverlightにはSecurityPrincipalという概念がありますか?
- 28. Drools Fusionには「今」という概念がありますか?
- 29. 確保クッキーとセッション
- 30. OpenGL ESでGPUにデータを送信するという概念
お問い合わせはありますか?なぜそれが脅威になると思いますか? – Kayaman
はいセッションIDはセッション自体から取得できるので、セッションIDをクッキーに送信する動機を知る必要があります。 – user2695448
セッションID(例:Cookieなど)がない場合、セッションIDとセッションIDをどのように取得できると思いますか?魔法? – Kayaman