アカウント名:
パスワード:
という2種類ですよね。 前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。 たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
脆弱なのはブラウザなんだよ!!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
XSSで引き起こされる被害 (スコア:1, すばらしい洞察)
という2種類ですよね。
前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
Re:XSSで引き起こされる被害 (スコア:0)
しかしブラウザが脆弱であったとしても XSS 脆弱性がなければこの問題が原因で Cookie が盗まれることはない。
脆弱なのはサイトなんだよ!!
冗談はともかく脆弱なブラウザがこれだけ蔓延してる世の中ではサイトの XSS 脆弱性が即 Cookie を盗まれる危険性につながる事例が多いだろう。セキュリティパッチ適用せずに使っているクライアントの責任? そりゃ世間の実状を無視しすぎってもんだろ? ;-)
Re:XSSで引き起こされる被害 (スコア:1)
Re:XSSで引き起こされる被害 (スコア:0)