アカウント名:
パスワード:
それってどっかまずくなかったっけ?たとえば逆方向の接続しなおしもできるわけだよね。
現状のスラドのシステムではHTTPとHTTPSで異なるcookieを発行することができないため、HTTPとHTTPSの両方で同じcookieを共用するようになっています。
一応スラドのシステムではセッション乗っ取りを防ぐための機構は入っていますが、ご指摘の通りセッションハイジャックの可能性はあります。今後HTTPSでのみ接続を可能にするよう再度変更を行う予定で、それに合わせてcookieもHTTPS専用に変更する予定です。
> 今後HTTPSでのみ接続を可能
あー、会社でよめなくなるかもなー
うちの会社はHTTPSで暗号化してくれたほうがフィルタに引っかからないという
引っ掛けられないので全部、とかやってくれちゃうんですな。HTTPなところは要するにダメだけどとりあえず理由のバリエーションがいくつかあってそう表示してくるんだけど、HTTPSなところは証明書かなにかがおかしいふりをしてぶつ切り
※ 偉い人が見ているところは素通り、説はある
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
再ログインなしでHTTPS接続したことに吃驚した。 (スコア:1)
それってどっかまずくなかったっけ?
たとえば逆方向の接続しなおしもできるわけだよね。
Re: (スコア:1)
現状のスラドのシステムではHTTPとHTTPSで異なるcookieを発行することができないため、HTTPとHTTPSの両方で同じcookieを共用するようになっています。
一応スラドのシステムではセッション乗っ取りを防ぐための機構は入っていますが、ご指摘の通りセッションハイジャックの可能性はあります。今後HTTPSでのみ接続を可能にするよう再度変更を行う予定で、それに合わせてcookieもHTTPS専用に変更する予定です。
Re: (スコア:1)
> 今後HTTPSでのみ接続を可能
あー、会社でよめなくなるかもなー
Re:再ログインなしでHTTPS接続したことに吃驚した。 (スコア:0)
うちの会社はHTTPSで暗号化してくれたほうがフィルタに引っかからないという
Re:再ログインなしでHTTPS接続したことに吃驚した。 (スコア:1)
引っ掛けられないので全部、とかやってくれちゃうんですな。
HTTPなところは要するにダメだけどとりあえず理由のバリエーションがいくつかあってそう表示してくるんだけど、HTTPSなところは証明書かなにかがおかしいふりをしてぶつ切り
※ 偉い人が見ているところは素通り、説はある