アカウント名:
パスワード:
refererが漏れたらセッションを盗まれるってまさかURL書き換えでも使ってるんですか? そんなのガラケーだけで勘弁してください。それとも「セキュリティのためにCookieは無効にすべき(キリッ」とかいうたわごとを真に受けてたらサイトがURL書き換えにフォールバックして自爆したという話ですか。
別ACです.
Referer が漏れることが脆弱性になる場面というと,CSRF でしょうか.最近は, URL にセッションIDを保存することはほとんど無くなった思うので,セッションハイジャックのリスクは減ってると思いますし.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
なぜログインした状態で他のサイトに行くんだろう? (スコア:1)
考えて) 避けるのが当然だったような気がするけど最近だとタブブラウザが当たり前に
なってきた事もあって同時に複数のサイトを回ることに抵抗感のない人が多いのかな?
となると…最近の人って例えば Gmail のサイトに行ってログアウトしてもブラウザを
1 度終了させずにそのまままた別のサイトを回ったりしてたりして… ガクガクブルブル (AA略)
ま、IE だと閉じてもあまり意味はないって話もあったような気はするけど :-)
# 言うまでもなく、昔のようにしたからといって安全というわけではないので念の為。
# 運がよければどっかにセキュリティホールやら悪意のあるサイトがあっても
# 被害にあわない可能性がほんのちょっとだけ増える *かもしれない* 程度の話。
Re:なぜログインした状態で他のサイトに行くんだろう? (スコア:1)
例えば、エロサイトを閲覧中のブラウザにURLを手入力して知り合いのサイトに行くと、その知り合いのサーバのログには「referer=エロサイト」みたいなのが残ってしまって後でツッコミを受ける可能性があるとか。
Re: (スコア:0)
refererが漏れたらセッションを盗まれるってまさかURL書き換えでも使ってるんですか? そんなのガラケーだけで勘弁してください。
それとも「セキュリティのためにCookieは無効にすべき(キリッ」とかいうたわごとを真に受けてたらサイトがURL書き換えにフォールバックして自爆したという話ですか。
Re:なぜログインした状態で他のサイトに行くんだろう? (スコア:1)
Re: (スコア:0)
別ACです.
Referer が漏れることが脆弱性になる場面というと,CSRF でしょうか.
最近は, URL にセッションIDを保存することはほとんど無くなった思うので,セッションハイジャックのリスクは減ってると思いますし.