アカウント名:
パスワード:
>「SSL のログイン、または、強い暗号を使っていないWebサイト」の問題って書いてるけど「または」って表現だと問題がぼやけちゃうんじゃない?
これって、認証はhttpsでやってるけど、認証後はcookieにセッションID突っ込んでhttpでやってるから、sniffingされるとcookie見られてセッションハイジャック完了って事ね。
Firefoxの拡張機能として実装した以外何の新規性もないし、途中経路のハブに物理的に干渉出来るならWiFiも関係しない。これまでもsnifferとBOOKMARKLETだけあれば簡単に実現出来てる話。
今更問題にするのもおかしいしログアウト状態を除いてすべてhttps化しろって話。
その辺はopen SSOとか使って複数サーバーでのシングルサインオン環境を構築しようとするとキッチリ書いてありますね
クッキー取られると認証横取りされるからSSL使えってまたそのためにクッキーにsecure 属性を付けるオプションもあります
今時暗号化するだけの証明書なら$10/年位(最安値で$27/3年)からあるんだから重要なところにはそれなりの有名どころの証明書それ以外は安い証明書使って全部overSSLで良いと思うんですけどねぇ安いところと高いところを使い分ければ、容易に実現出来る気がします保険の問題でできないのかな?
SSL部分のサーバー負荷はロードバランサーとかについてるSSLアクセラレータ使えば外だし出来るだろうし
よくわかっていないSEが頭のいいところ見せたがってるだけだと思う「証明書なんて取らなくてもこーすれば安全ですよー」と車輪の再発明被害総額が充分に積み上げられるまではこのままでしょう
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
誤解を招くなぁ (スコア:0)
>「SSL のログイン、または、強い暗号を使っていないWebサイト」の問題
って書いてるけど「または」って表現だと問題がぼやけちゃうんじゃない?
これって、認証はhttpsでやってるけど、
認証後はcookieにセッションID突っ込んでhttpでやってるから、
sniffingされるとcookie見られてセッションハイジャック完了って事ね。
Firefoxの拡張機能として実装した以外何の新規性もないし、
途中経路のハブに物理的に干渉出来るならWiFiも関係しない。
これまでもsnifferとBOOKMARKLETだけあれば簡単に実現出来てる話。
今更問題にするのもおかしいし
ログアウト状態を除いてすべてhttps化しろって話。
Re: (スコア:1)
その辺はopen SSOとか使って複数サーバーでのシングルサインオン環境を構築しようとするとキッチリ書いてありますね
クッキー取られると認証横取りされるからSSL使えって
またそのためにクッキーにsecure 属性を付けるオプションもあります
今時暗号化するだけの証明書なら$10/年位(最安値で$27/3年)からあるんだから
重要なところにはそれなりの有名どころの証明書
それ以外は安い証明書使って全部overSSLで良いと思うんですけどねぇ
安いところと高いところを使い分ければ、容易に実現出来る気がします
保険の問題でできないのかな?
SSL部分のサーバー負荷はロードバランサーとかについてる
SSLアクセラレータ使えば外だし出来るだろうし
Re:誤解を招くなぁ (スコア:3, すばらしい洞察)
よくわかっていないSEが頭のいいところ見せたがってるだけだと思う
「証明書なんて取らなくてもこーすれば安全ですよー」と車輪の再発明
被害総額が充分に積み上げられるまではこのままでしょう