アカウント名:
パスワード:
携帯対応・変なファイヤーウォールを無視できるとして、今回の件では関係ないものもありますが、対策はこんな感じでしょうか。専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。ベーシック認証、クライアント証明は考慮外です。
step0: ログインIDとパスワードをURLに含めて持ち歩くのをやめるstep1: パスワード送信をPOSTにしてPOSTのみ受け付けるstep2: ログイン画面以外は、パスワードを利用せずにcookieを使うstep3: 全コンテンツでTLS・有効で信頼済みの認証局発行のサーバー証明書を使うstep4: cookieにはsecureフラグを
専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。
# これはがくっときてしまう人多そう…。
たとえば、IPAではこんなのを用意しています。これで完全だとは言いませんが、指針として目を通しておいたほうがよいでしょう。
安全なウェブサイトの作り方 [ipa.go.jp]
あと利用者側の対策もね。安全なWebサイト利用の鉄則 [aist.go.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
webのログイン管理的なもの (スコア:3, 参考になる)
携帯対応・変なファイヤーウォールを無視できるとして、今回の件では関係ないものもありますが、対策はこんな感じでしょうか。
専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。
ベーシック認証、クライアント証明は考慮外です。
step0: ログインIDとパスワードをURLに含めて持ち歩くのをやめる
step1: パスワード送信をPOSTにしてPOSTのみ受け付ける
step2: ログイン画面以外は、パスワードを利用せずにcookieを使う
step3: 全コンテンツでTLS・有効で信頼済みの認証局発行のサーバー証明書を使う
step4: cookieにはsecureフラグを
Re: (スコア:5, 参考になる)
# これはがくっときてしまう人多そう…。
たとえば、IPAではこんなのを用意しています。これで完全だとは言いませんが、指針として目を通しておいたほうがよいでしょう。
安全なウェブサイトの作り方 [ipa.go.jp]
Re:webのログイン管理的なもの (スコア:0)
あと利用者側の対策もね。
安全なWebサイト利用の鉄則 [aist.go.jp]