アカウント名:
パスワード:
大手ISPのユーザー設定(料金コースやオプション)で、SSLだけでセッションを維持してるとことかありますよ。
どうせ、cookieやHTTPなセッションもタイムアウトがあるんだから、keep-aliveしてTCPをHTTPなセッションの代わりにしたほうが美しい仕様だと思っています。 telnetも、FTPもTCPが切れたらお終いでloginやり直しだから、HTTPで買い物していてもkeep-alive(TCP)が切れたら、ログインし直しで納得出来そうです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
cookieを弾くと危うい (スコア:3, 参考になる)
インタラクティブなWebサイトを作る上でセッション管理は必須の要素で、セッションキーは必ずどこかで持ち回る必要が生じます。
Webアプリケーションを作るためのほとんどのフレームワークも、セッション管理を自動できる機能を提供しています。
通常はセッションキーをcookieに持たせるのですが、cookieが利用できない場合に多く利用されるのがURLへのセッションキーの埋め込みです。
そういった作りになっている場合、cookieが利用できるブラウザでは特に気にする必要はありませんが、cookieが無効の場合に、セッションキーがWebブラウザの履歴、Proxyサーバのログなどに残るようになるだけでなく、Refererによる外部サイトへの漏洩の危険も高まり、また不用意なURLのコピーアンドペーストでも漏洩します。
宗教上都合などでしかたない場合を除いて、安全にWebを利用したい場合はcookieは不用意には切れないと思います。
Re:cookieを弾くと危うい (スコア:1, すばらしい洞察)
個人トラッキング目的としか思えない、やたらと長い有効期間を設定しているcookieが嫌われてるだけで。
全部受け入れるのは気持ち悪いけど、いちいち受け入れ/拒否を聞かれるのはウザくてやってられない→面倒くさいから全部拒否
となってしまうんでしょうね。
猫も杓子もcookieを喰わせようとしすぎるから、本当に必要なcookieがゴミの山に埋もれて一緒に捨てられてしまうんですよ。
Re:cookieを弾くと危うい (スコア:0)
そう。セッション用なら期限はブラウザを閉じるまでで十分。更にはログアウトしたときにセッション用のcookieは消去するようにWebアプリケーションを作るべき。
Re:cookieを弾くと危うい (スコア:0)
cookieも結局性善説のツールというか「システムは必ず乱用される」というスタンスで設計されていないから、ユーザが手間をかけてその都度許可する運用にするか、運営側がもうちょっとデキのいいセッション管理(他の枝でも出てるけどSSLとか使って)を使うしかないと思う。
#しかしcookieのブラック/ホワイトリストをドメイン単位の登録にするのは勘弁して欲しいな。レンタルサーバとかサブドメインとかどうすんのよ。
Re:cookieを弾くと危うい (スコア:0)
つかFirefoxのCookie管理機能とかいやがらせでしょ。ドメインつきのホスト名を前から順にソートできるって何の役に立つわけ?
Re:cookieを弾くと危うい (スコア:2, 参考になる)
SSLのセッションはkeep-aliveと同様に時間切れを起こします。クライアント証明書でも使っているのですか?
もしかして、そのISPの接続元からしかログインできないシステムですか?
Re:cookieを弾くと危うい (スコア:1)
IPのバラバラなパケットを連続した通信に見せるためにTCPを使ってますよね。
せっかく、TCPで連続した通信になったのに、TCP上のHTTPでGETとかPOSTで通信が終わるたびにTCPをcloseしてしまっています。
closeした後、前と同じ人が、GETやPOSTしてもサーバからは同じ人のアクセスかどうかがわからなくなるからcookieを使ってHTTPなセッションを作って連続したアクセスだと認識しています。
どうせ、cookieやHTTPなセッションもタイムアウトがあるんだから、keep-aliveしてTCPをHTTPなセッションの代わりにしたほうが美しい仕様だと思っています。
telnetも、FTPもTCPが切れたらお終いでloginやり直しだから、HTTPで買い物していてもkeep-alive(TCP)が切れたら、ログインし直しで納得出来そうです。
今となっては、過去の資産があってしかたがないのは納得しています。
# keep-aliveをHTTPなセッションの代わりに使うとproxyが難しそう。。。
Re:cookieを弾くと危うい (スコア:0)
Re:cookieを弾くと危うい (スコア:0)
むしろ、Basic認証でログインしてます・・・ってオチだったりして?
Re:cookieを弾くと危うい (スコア:0)
Re:cookieを弾くと危うい (スコア:0)
SSLだけでセッションを維持してるサイトがあったとしても
そうじゃないサイトを使っている/使わざるを得ない場合には「関係ない話」だよ
そして、そうじゃないサイトではCookieがダメならば
URLにセッションID埋め込みというのが常套手段として使われる事が多い
なので、Cookieを拒否するとしばしばセッションID埋め込みURLが使われる事になってしまう
(残念ながら)まだまだ極一部の、特殊で安全なサイトしか使わない人は別として
大多数の人にとっては、それが現実でしょう。