HTTPセッションをクッキーでのみ維持していると、セキュリティ上の問題を説明することができますか?セキュリティ上の問題:クッキー内でのみHTTPセッションを維持する
0
A
答えて
0
セッション管理は、Cookieのみを使用してコーディングすることができます。セッション情報を管理するには多くの部分が必要になります。 クッキーの有効期限のタイムスタンプ、セキュアなクッキー、セッションID生成などを管理するなどの問題が発生することができます場合は、任意の流れ -
- クッキーが盗までき&を再利用する権限を引き起こす可能性がありますクッキーの
- 操作が&不正 アクセスをエスカレーション
0
あなた自身のセッションは安全ではありません。共有秘密を持っている人のためにアプリケーションに穴を開けてください。しかし、それは耐えられる。誰かがセッションIDを取得したときに問題が発生します。これを避けるためには、あなたのIDはuuid-quality(本当にランダム)であり、できるだけ短期間でなければなりません。
また、誰かがあなたのドメインに(クッキーが有効な)JSを挿入できる場合、あなたはあなたのクッキーを読んで、誰かのセッションにアクセスすることができます。
セキュリティ関連の処理(金銭の授受、電子メール/パスワードの変更)を伴う操作の場合は、ユーザーセッションを確認するためにパスワードを再度尋ねる必要があります。
ロックアウトボタンをクリックすると、ローカルのCookieだけでなく、サーバーのセッションも破棄する必要があるため、Cookieが読み込まれていてもセッションが破棄される可能性があります。
関連する問題
- 1. ヘッダーのリダイレクトとセッションとセキュリティの維持
- 2. jsoupで変数のクッキーとセッションを維持する方法は?
- 3. Httpセッションの問題
- 4. CakePHPで行われたウェブサイト上の2つの異なるドメイン間でセッションを維持する際の問題
- 5. WCFのセキュリティ上の問題
- 6. Azureのセキュリティ上の問題
- 7. JavaScriptのセキュリティ上の問題?
- 8. ユーザーがjavascriptを使ってクッキーにアクセスすることをセキュリティ上の問題
- 9. セキュリティ上の問題、PHP/mysql
- 10. node-http-proxy経由のクッキーベースのセッションを維持する
- 11. CakePHPのウェブサイトでセッションを維持することに問題があります
- 12. AuthenticationTokenとオーセンティケータでhttpセッションを維持する
- 13. Mechanizeリクエスト間でクッキーを維持する
- 14. セッション内で検索フォームのフィルタを維持する
- 15. データベースのセキュリティを維持する
- 16. セッションを維持するSharedPreferences
- 17. HTTP GETリクエスト用のボタンの作成:ロケールの維持に関する問題
- 18. PHPのReadfileメソッドのセキュリティ上の問題
- 19. sendredirectでJavaでセッションを維持する
- 20. WPFアプリケーションのセキュリティ上の問題
- 21. クライアントサーバーアプリケーションでセッションを維持する方法
- 22. Flex HTML Post Error - セキュリティ上の問題?
- 23. セキュリティ上の問題ASP.NET統合認証
- 24. phpファイル拡張子:セキュリティ上の問題?
- 25. Struts2重大なセキュリティ上の問題?
- 26. Activexコントロールの実行とセキュリティの維持
- 27. セッション属性を維持する方法
- 28. セッションを維持する方法
- 29. PHP curl、セッションを維持する
- 30. Spring HTTPセッションの問題 - ヌル属性値を取得する
あなたは何を意味しているのですか? 「クッキーでのみセッションを維持する」という言葉は、あなたが達成しようとしていることとあなたがどのような心配をしているのかを十分に理解しているわけではありません。あなたの状況をより詳しく記述してください。 – Cheekysoft