アカウント名:
パスワード:
という2種類ですよね。 前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。 たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
XSSで引き起こされる被害 (スコア:1, すばらしい洞察)
という2種類ですよね。
前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
Re:XSSで引き起こされる被害の本当のところは... (スコア:0)
> 更にちょっとでも見
Re:XSSで引き起こされる被害の本当のところは... (スコア:0, 興味深い)
かわいそうに、休日返上で働かされた人が居ました。 そっとしておけば、そのうち消えるマイナーな機能だったのに。報告されちゃうと、よくわかってない上司もそれを知り、身の保身のためにとにかく修正させようとするのね。
確かに 「Webで公開されるもには完璧じゃなきゃいけない」って主張も完全に否定はできませんが、セキュリティと危険の「コストバラン
Re:XSSで引き起こされる被害の本当のところは... (スコア:0)
雪印食品も、対象企業が特定できるように情報公開されたのは誰かが自己中心的だったから?雪印食品も、後ろで泣いている人もいるだろうけどね。
Re:XSSで引き起こされる被害の本当のところは... (スコア:0)