3
ColdFusionセッションは、CFID、CFTOKEN、およびjsessionidの値の組み合わせでサポートされています。 cfmページが最初にヒットすると、これらの値が確立され、セッションが作成されます。ColdFusionでは、httpからhttpsに切り替えた後、セッショントークンを再確立する必要がありますか?
私の質問は、HTTPでSESSIONが作成され、HTTPSでログインページに到達するためにリンクがクリックされた場合、それらがSESSIONトークンの値がhttpの下で作成されたため要求の一部として)。
私は公然のルータを盗んでいる人が驚くようにそれらの値を取得し、その後セッションを偽装する可能性があると推測しています。確かにまれな出来事になるだろうが、それでもなお懸念がある。
私は答えは分かりませんが、テストするのはかなり簡単なことです。ログインページにセッション変数をダンプするだけです。彼らが存在する場合、あなたは彼らが移転することを知っています。また、ログイン時にセッションを破棄して新しいセッションを開始するのは難しくありません。 – invertedSpear