Re:暴言かましてよかですか? (#377430) | 経産省、Cookie盗聴への対策を指示

「経産省、Cookie盗聴への対策を指示」記事へのコメント

記事ページを表示すべてのコメント取得

検索90コメント Log In/Create an Account

「2つのクッキーを使い分ける」ってのがねー (スコア:2, 興味深い)

by tnk (13707)

このプレスリリース，基本的には的を射ている提言なんだが，対策Bとして提示している [ipa.go.jp]，
方法 B： 2つのクッキーを使い分ける

サイトの設計上、http://... の画面と https://... の画面をまたがってセッション管理を行う必要がある場合は、2つのクッキーを発行し、一方を secure 属性付きとし、もう一方を secure 属性なしとします。https://... の画面ではセッション管理に前者のクッキーを使用し、 https://... の画面では後者のクッキーを使うようにします。

このとき、暗号化で保護が必要な画面（https:// を使うことにした画面）に対して、http:// でアクセスされても情報を表示しないように作る必要があります。そうしないと、攻撃者は、盗聴で盗み出し
- Re:「2つのクッキーを使い分ける」ってのがねー (スコア:1, 参考になる)
  
  by Anonymous Coward
  
  secure属性を付けて独自のCookieを発行すればいいだけですよ。つまり，コンテナが管理しているセッションIDとは別に，セッションID を管理してあげればよいのです。
  - 暴言かましてよかですか? (スコア:2, 参考になる)
    
    by Anonymous Coward
    
    >secure属性を付けて独自のCookieを発行すればいいだけですよ。
    >つまり，コンテナが管理しているセッションIDとは別に，セッションID を管理してあげればよいのです。
    
    面　　倒　　臭　　ぇ
    
    　
    
    …いや、まあ、その、あなた様の意見は正論です、その通りです。返
    - Re:暴言かましてよかですか? (スコア:0)
      
      by Anonymous Coward on 2003年08月12日 15時50分 (#377430)
      
      ガイドラインに従った実装がこれから出てくるかもしれないぢゃん;-p
      
      #未来永劫、今の実装だとだれが決めた?
      
      つか、各ベンダにリクエストしようぜ。
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

経産省、Cookie盗聴への対策を指示 More ログイン

「経産省、Cookie盗聴への対策を指示」記事へのコメント

「2つのクッキーを使い分ける」ってのがねー (スコア:2, 興味深い)

Re:「2つのクッキーを使い分ける」ってのがねー (スコア:1, 参考になる)

暴言かましてよかですか? (スコア:2, 参考になる)

Re:暴言かましてよかですか? (スコア:0)

スラド