2010-05-01から1ヶ月間の記事一覧

CookieのPath

遅ればせながら、高木さんの日記を見ました。高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていないCookieのPath指定がセキュリティ上意味を持たない件について書かれています。日記に書かれたIFRAMEを使う方法で既に「詰み」なのですが、もうち…

セッションIDと認証チケット

以前の日記で、ASP.NETのセッション固定対策について書きました。その結論をまとめると、 ASP.NETにはセッションIDを変更するまともな方法が存在しない。 そのため、ASP.NETではフォーム認証機構(FormsAuthentication)を使ってログイン状態管理を行うべき…