私は企業向けに安全なウェブサイトを開発しています。すべての既知の脆弱性から完全に保護されることを望みます。私はセキュアなクッキーを作成し、HTTPOnlyを有効にしましたが、その例ではクッキー値をセッションIDとして使用していました。理解できませんでした。この方法を使用しないと脅威になりますか?セッションIDをクッキーに保存するという概念は何ですか?
答えて
セッションIDをクライアントに送信し、そのクライアントからの要求をセッションに一致させるには、サーバーに戻す必要があります。
AFAIKセッションIDを渡すには、クッキーまたはパラメータ(ほとんどの場合、取得要求をサポートするためのURLパラメータである)として、2つの方法があります。セッションIDをパラメータ経由で送信することは、脆弱ですが、攻撃者がクッキーと同じことを行うのは難しいことではないにしても、事前に作成されたセッションid(セッション固定)でリンクを提供できるからです。
URLパラメータを介してセッションIDを送信するだけでなく、セキュリティ上の問題が発生します。誰かがURLをコピーして誰かに送ると(「これを見てね」)、ウェブ上のどこかに投稿しているとします。セッションが存在する限り、そのリンクにアクセスする全員が同じセッションを使用し、互いに反復する。確かに、セッション(IPアドレス、MACアドレスなど)に関係なくユーザーを識別する方法はありますが、これらの方法は実現できないか、または他の制限を課すことがあります。
すばらしい説明のためのおかげです。その後、私はセッションIDをjavaサーブレットのクッキーによって渡されたセッションを作成する必要があり、作成したセッションIDをさらに操作する必要があります。 – user2695448
@ user2695448アプリケーションでセッションにアクセスする必要がある場合は、セッションIDをクッキーに渡し、Cookie値に基づいて各リクエストをそのセッションに関連付けます。これは、通常、Tomcatなどの標準のWebサーバーセッションを必要としない場合、つまりすべてが読み取り専用である場合、またはアプリケーションがビューの状態/セッション全体をクライアントに渡して戻す場合は、その必要はありません。 – Thomas
- 1. 概念とは何ですか?
- 2. Zend Framework 2 - クッキーの概念
- 3. ユーザー名とユーザーIDはどこに保存されますか?セッションやクッキー?
- 4. オブジェクトパーシスタンスの概念は何ですか?
- 5. Django:ユーザーIDをクッキーに保存する
- 6. IDクッキーにカスタムデータを保存する
- 7. ドメインモデルと概念モデルの違いは何ですか
- 8. 論理データモデルと概念データモデルの違いは何ですか?
- 9. 「ワーカー」という概念はプログラミングにおいて何を意味しますか?
- 10. セッションにIDを保存する
- 11. この概念は何と呼ばれていますか?
- 12. セッションとクッキーの両方に情報を保存する
- 13. Java URIResolverの概念はC#と.NETに存在しますか?
- 14. SilverlightにはSecurityPrincipalという概念がありますか?
- 15. Drools Fusionには「今」という概念がありますか?
- 16. 確保クッキーとセッション
- 17. sqlite概念からcoredata概念へ?
- 18. クッキーを保存するとセッションが失われる
- 19. 移転の概念は何を意味していますか?
- 20. 問題エンティティフレームワークでの保存(概念的ヘルプが必要)
- 21. .NETでのアセンブリの概念は何ですか?
- 22. Magento:Quote ItemとQuote Address Itemの概念の違いは何ですか?
- 23. Callable概念とstd :: is_function型形質の違いは何ですか?
- 24. dartのスナップショットの概念は何ですか?
- 25. HEAD、master、originのgitの概念は何ですか?
- 26. 概念
- 27. OOPの概念とは何ですか? (それは確かにある場合、すべてのOOPの概念を!)
- 28. Google Bigtableはマルチテナントデータベースの概念ですか?
- 29. プログラミングの「コンテキスト」という概念の背後にある一般的な考え方は何ですか?
- 30. MVCで従来の「ページ」概念を定義するものは何ですか?
お問い合わせはありますか?なぜそれが脅威になると思いますか? – Kayaman
はいセッションIDはセッション自体から取得できるので、セッションIDをクッキーに送信する動機を知る必要があります。 – user2695448
セッションID(例:Cookieなど)がない場合、セッションIDとセッションIDをどのように取得できると思いますか?魔法? – Kayaman