パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解」記事へのコメント

  • by Anonymous Coward on 2006年10月18日 12時16分 (#1039435)
    Set-Cokkie: sessionid=#############; domain=mixi.jp
    Set-Cokkie: sessionid=#############; domain=.mixi.jp

    と2つのSet-Cookie:を返すだけじゃ駄目なのかな。
    • 2つcookieを設定して、でどうするの?
      • by tnk (13707) on 2006年10月18日 23時23分 (#1040038)
        つまり,

        >Set-Cookie: sessionid=#############; domain=mixi.jp
        だと,本文を提供しているmixi.jpにはsessionidが返されるけど,画像を提供しているimg*.mixi.jpやic**.mixi.jpにはsessionidが送られない。

        >Set-Cookie: sessionid=#############; domain=.mixi.jp
        だとimg*.mixi.jpやic**.mixi.jpにはsessionidが返されるようになるけど,一部のブラウザでmixi.jpには返されなくなり,ログインができなくなる。

        ならば,両方つけてしまえば,どのブラウザでも,どちらのサーバーにもcookieが返るのでは? ということだと思う。
        親コメント
        • これ、シンプルで凄くいいアイディアだと思うんだけど、なんでやらないんだろう?
          なんか問題があるのかな?
          • レスポンスに幾つCookieを吐いても、名前が同じであればリクエスト時にはどっちかしか使われないわけなので、そのあたりが問題になるのかしら。
            ということはsessionid、sessionid2と名前を変えればいいのかな。

            どっちにしても画像一つずつに認証を行わなければいけないので、サーバーのパフォーマンスが追いつかんのでしょうね。
            • レスポンスに幾つCookieを吐いても、名前が同じであればリクエスト時にはどっちかしか使われないわけなので、
              同じ名前 = 同じ値
              なんだから、それでいいのでは?
              (両方使われてもいいし)
              どっちにしても画像一つずつに認証を行わなければいけないので、サーバーのパフォーマンスが追いつかんのでしょうね。
              認証じゃなくて認可ね。
              その程度の処理は全体の0.1%くらいでしょ。
              それに過去に domain=.mixi.jp で対策打った実績があるんだし。

アレゲは一日にしてならず -- アレゲ研究家

処理中...