HTTPとHTTPSを併用しログイン後の画面遷移はHTTPSしか許可しないサイトでの安全なセッション管理その２ - masaのメモ置き場 の続き セッション管理に使用するCookieと認証状態の管理に使用するCookieが独立して存在するため、認証CookieにSecure属性を設定す…

「ログイン時にSecure属性付きのセッションCookieを再発行する実装の実現性」をASP.NETにおいて検証しました。 ASP.NET1.1 ASP.NET1.1でセッション破棄の処理を実装する場合には、Session.Abandonメソッドを使用します。ここでSession.Abandonを使用したセッ…

HTTPとHTTPSを併用するサイトでの安全なセッション管理 - masaのメモ置き場 の続き おっと、ログイン後の画面遷移はHTTPSしか許可しない前提だったら、ログイン時にSecure属性付きのセッションCookie再発行してあげれば終わりですね。前提がごっちゃになって…

12/12 22:40 こっちが正解？自信なし・・・ 考慮すべきは、 HTTPのページにアクセスするとセッション情報が奪われてしまう可能性がある HTTPのページにアクセスするとセッション情報が操作されてしまう可能性がある 2重ログインでセッション情報が奪われてし…

エスケープだけしてれば、セキュリティ対策が万全になる訳ではないですよ - masaのメモ置き場 の話について、高木さんより「PreparedStatementを使いなさい、動的パラメータの例は分岐で処理しなさい」、という趣旨のコメントを頂いてしまった。まだ、もやも…