アカウント名:
パスワード:
できるだけCookie使いたくないんだけどね。
ってのはダメなのかな。
よく読んでみたらCookie要らんかも。失礼しました。
出直してくる。
Cookieを使いたくないということですが、どういった形態のサイトについての話なんでしょうか?
もし、ログインが必要な会員制のサイトならば、セッションIDやパスワードなどの識別情報を、URLに含めて渡すかPOSTメソッドで送信していることになります。
そういった方式での管理ならば、セッション情報を確認していないページがあるなどの脆弱性が無い限り、そもそも、CSRF及びCSSXSS攻撃は受けません。 なぜならば、攻撃者は識別情報を予測することができないからです。
追記ですが、URLにセッションIDやパスワードを含めることは、URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) [aist.go.jp]に書かれているような問題が発生するので推奨できません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
Cookie依存というのがねぇ (スコア:1)
できるだけCookie使いたくないんだけどね。
ってのはダメなのかな。
Re:Cookie依存というのがねぇ (スコア:2, 興味深い)
知らないメールのリンクを踏むのはCSRF以前
人間というものは間違いを犯すものであり、技術はそういうものを
*なるべく* 前提として考えるものだと思います。なにか最近の
「自己責任」大流行の風潮の中なのか、間違いを技術で救えるかの
検討がおろそかになっていきつつあるように感じてます。
「知らないメールのリンクを踏む」のを除外すれば、知っている人が
だまされたりして送ってくるメールにも無防備になって、そういう
対策自体の効力に疑問が生じます。
Re:Cookie依存というのがねぇ (スコア:1)
よく読んでみたらCookie要らんかも。失礼しました。
出直してくる。
Re:Cookie依存というのがねぇ (スコア:1)
Cookieを使いたくないということですが、どういった形態のサイトについての話なんでしょうか?
もし、ログインが必要な会員制のサイトならば、セッションIDやパスワードなどの識別情報を、URLに含めて渡すかPOSTメソッドで送信していることになります。
そういった方式での管理ならば、セッション情報を確認していないページがあるなどの脆弱性が無い限り、そもそも、CSRF及びCSSXSS攻撃は受けません。
なぜならば、攻撃者は識別情報を予測することができないからです。
Re:Cookie依存というのがねぇ (スコア:1)
追記ですが、URLにセッションIDやパスワードを含めることは、URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) [aist.go.jp]に書かれているような問題が発生するので推奨できません。