アカウント名:
パスワード:
携帯対応・変なファイヤーウォールを無視できるとして、今回の件では関係ないものもありますが、対策はこんな感じでしょうか。専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。ベーシック認証、クライアント証明は考慮外です。
step0: ログインIDとパスワードをURLに含めて持ち歩くのをやめるstep1: パスワード送信をPOSTにしてPOSTのみ受け付けるstep2: ログイン画面以外は、パスワードを利用せずにcookieを使うstep3: 全コンテンツでTLS・有効で信頼済みの認証局発行のサーバー証明書を使うstep4: cookieにはsecureフラグを
専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。
# これはがくっときてしまう人多そう…。
たとえば、IPAではこんなのを用意しています。これで完全だとは言いませんが、指針として目を通しておいたほうがよいでしょう。
安全なウェブサイトの作り方 [ipa.go.jp]
># これはがくっときてしまう人多そう…。確かにIPAの存在も忘れてましたが、法人ではなくて個人を想像したコメントでした。IPAがまとめてくれているので、個人でまとめる必要はないわけですね。プログラミングガイドとかも、そういえばIPAでした。
脆弱性でデータ流出とかは話題になって(個人的には)記憶に残りやすいです。一方「IPAが仕事しました」というのは、内容がおかしかったら話題になるけど、内容がまともすぎて、話題・記憶に残りにくいのかもしれません。blogとかで紹介するときも、「IPAがまとめています→リンク。参考になります。」という感じで触れられるだけですから、後で読もうと思ってリンクをたどらず、つい読み飛ばしてそのうち忘れます。
現場で、「IPAのこれ読んで」とか上に言われて渡されたりするのか、もしくは上の人は、渡したり確認したりしているんでしょうか。
#ここはひとつ、萌えキャラで擬人化してみんなに覚えてもらうというのはどうだろう。
あと利用者側の対策もね。安全なWebサイト利用の鉄則 [aist.go.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
webのログイン管理的なもの (スコア:3, 参考になる)
携帯対応・変なファイヤーウォールを無視できるとして、今回の件では関係ないものもありますが、対策はこんな感じでしょうか。
専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。
ベーシック認証、クライアント証明は考慮外です。
step0: ログインIDとパスワードをURLに含めて持ち歩くのをやめる
step1: パスワード送信をPOSTにしてPOSTのみ受け付ける
step2: ログイン画面以外は、パスワードを利用せずにcookieを使う
step3: 全コンテンツでTLS・有効で信頼済みの認証局発行のサーバー証明書を使う
step4: cookieにはsecureフラグを
Re:webのログイン管理的なもの (スコア:5, 参考になる)
# これはがくっときてしまう人多そう…。
たとえば、IPAではこんなのを用意しています。これで完全だとは言いませんが、指針として目を通しておいたほうがよいでしょう。
安全なウェブサイトの作り方 [ipa.go.jp]
Re:webのログイン管理的なもの (スコア:1)
># これはがくっときてしまう人多そう…。
確かにIPAの存在も忘れてましたが、法人ではなくて個人を想像したコメントでした。
IPAがまとめてくれているので、個人でまとめる必要はないわけですね。
プログラミングガイドとかも、そういえばIPAでした。
脆弱性でデータ流出とかは話題になって(個人的には)記憶に残りやすいです。
一方「IPAが仕事しました」というのは、内容がおかしかったら話題になるけど、内容がまともすぎて、話題・記憶に残りにくいのかもしれません。
blogとかで紹介するときも、「IPAがまとめています→リンク。参考になります。」という感じで触れられるだけですから、
後で読もうと思ってリンクをたどらず、つい読み飛ばしてそのうち忘れます。
現場で、「IPAのこれ読んで」とか上に言われて渡されたりするのか、もしくは上の人は、渡したり確認したりしているんでしょうか。
#ここはひとつ、萌えキャラで擬人化してみんなに覚えてもらうというのはどうだろう。
Re: (スコア:0)
あと利用者側の対策もね。
安全なWebサイト利用の鉄則 [aist.go.jp]