アカウント名:
パスワード:
セッションIDとIPアドレスをセットで運用して、IP アドレス変ったら、その都度、認証やり直せと、、、
セッションIDとIPアドレスをセットで運用して、 IP アドレス変ったら、その都度、認証やり直せと、、、
無茶言うな。君、Webアプリ開発やったことないだろ。 そんなことやったら、企業でProxy経由で使ってるユーザを見捨てることになるぞ。 基本中の基本だぞこんなのは。
auの糞システム [srad.jp]作ったのももしかして君みたいな連中か?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
今さらこの程度で危険だなんてワロス (スコア:1)
別のPCで再認証した時点で元PCのセッション無効になるんのに、
セッションID抜かれたくらいで、認証回避されるなんて今時ザル過ぎる、、、
セッションIDとIPアドレスをセットで運用して、
IP アドレス変ったら、その都度、認証やり直せと、、、
プライベートIPとかProxy使ってると危険度増すけど、
グローバルIPで繋いでる限りは、
同一セグメントに攻撃者がいない限りたいして問題にならんだろ?
uxi
Re:今さらこの程度で危険だなんてワロス (スコア:1)
特殊な環境は (スコア:1)
ユーザー側で、IP変ったら再認証するかどうか、選択できれば問題ないかと。
# DHCP による更新が早い環境もあるでしょうし
uxi
Re: (スコア:0)
無茶言うな。君、Webアプリ開発やったことないだろ。
そんなことやったら、企業でProxy経由で使ってるユーザを見捨てることになるぞ。
基本中の基本だぞこんなのは。
auの糞システム [srad.jp]作ったのももしかして君みたいな連中か?
だからそれは特殊事例だと (スコア:1)
けど SSL なしじゃ元からセッションID丸見えなのに、IP非固定でどうやってセキュリティ保てと?
XSS とか画像リンクとか以前の問題だぜ?
auが糞かどうかは知らないが、仮に糞だとして、それはIPが固定できないユーザーへの配慮が抜けていた上に、オプション用意しなかったからだろ?
セキュリティ問題で、マイノリティに合わせて、マジョリティのレベルまで落とせってどっちが糞だよ?
そもそも企業で Proxy?
社内には関係ないだろ?
それとも社外の web アプリ使わす気?
しかも http でIP非固定のセッションIDで?
uxi
Re: (スコア:0)