アカウント名:
パスワード:
セッションIDとIPアドレスをセットで運用して、IP アドレス変ったら、その都度、認証やり直せと、、、
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
今さらこの程度で危険だなんてワロス (スコア:1)
別のPCで再認証した時点で元PCのセッション無効になるんのに、
セッションID抜かれたくらいで、認証回避されるなんて今時ザル過ぎる、、、
セッションIDとIPアドレスをセットで運用して、
IP アドレス変ったら、その都度、認証やり直せと、、、
プライベートIPとかProxy使ってると危険度増すけど、
グローバルIPで繋いでる限りは、
同一セグメントに攻撃者がいない限りたいして問題にならんだろ?
uxi
Re:今さらこの程度で危険だなんてワロス (スコア:1)
特殊な環境は (スコア:1)
ユーザー側で、IP変ったら再認証するかどうか、選択できれば問題ないかと。
# DHCP による更新が早い環境もあるでしょうし
uxi