アカウント名:
パスワード:
http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi [rakuten.co.jp]... URLにセッション追跡や認証のための情報を埋め込む手法については、ずっと前から「Refererから漏洩する」という危険性が指摘されてきました。逆に、「ユーザが自分で積極的にリンクする」なんてことはあまりないだろうと思っていましたが……ソーシャルブックマークの普及によって気軽にリンクができるようになり、ユーザが自分でリンクしてしまう可能性も増しているわけですね。
http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi [rakuten.co.jp]...
URLにセッション追跡や認証のための情報を埋め込む手法については、ずっと前から「Refererから漏洩する」という危険性が指摘されてきました。逆に、「ユーザが自分で積極的にリンクする」なんてことはあまりないだろうと思っていましたが……ソーシャルブックマークの普及によって気軽にリンクができるようになり、ユーザが自分でリンクしてしまう可能性も増しているわけですね。
この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールア
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
もっと怖い話 (スコア:5, 興味深い)
この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールア
Re: (スコア:1)
単にキーの重複を防ぐ為のものでは?
元の暗号化も単なるハッシュを変換しただけどか
Re:もっと怖い話 (スコア:0)
その暗号文のHMAC 4byteをくっつけて改ざん防止 。
というところではないでしょうか。