【PHP】フレームワークについて語るスレ12【総合】at PHP【PHP】フレームワークについて語るスレ12【総合】 - 暇つぶし2ch■コピペモード□スレを通常表示□オプションモード□このスレッドのURL■項目テキスト200:nobodyさん 09/01/30 02:29:11 俺には結構まっとうかつこのスレにふさわしい質問だと思うんだが。 (キリッ 201:nobodyさん 09/01/30 03:47:52 煽ってるとこすまんが、同意するよ。 PythonやらRubyやらPerlがphpと比べてどうのとか、 ぜんぜん関係なかったし。 202:nobodyさん 09/01/30 08:04:53 >>197 >セキュアなページに入ってきたら、必ず一度はそのユーザーの有効性を確認するように実装するのが当然。 これがわからん。どうやって確認するの? 例えばユーザでログインした後、トップページからお問い合わせフォーム(もしくはその確認画面)に進んだだけで パスワード入力を求められるようなサイトは現実的かな? Amazonみたいに、重要な操作の前にいちいちパスワード入力を求めるっていう感じかな。 それとも、セッションに頼らない確認方法があるんだろうか。 流行の一時トークンも、ぶっちゃけクッキーやらPOSTだったら一緒に盗まれるんじゃないの。 203:nobodyさん 09/01/30 08:27:30 だから、個別のサービス思想に絡んだ設計の問題なわけでそ。 アマゾンのように、長いセッションを維持するサイトでは、重要な操作の前に、 必ずパスワードを確認させて、セキュアなセッションは短くしている。 Yahooでもクッキーを数種類使いつつ、クラムというフォーム追跡を埋め込んで、 通常ログイン状態とセキュアログイン状態を識別、追跡している。 だから、パスワードの再確認を求められるケースとそうじゃないケースがある。 そういうギミックを持ってないところは、ショップなどのように金銭が絡むところは まるっとHTTPSで実装する。 > 流行の一時トークンも、ぶっちゃけクッキーやらPOSTだったら一緒に盗まれるんじゃないの。 それはどういうレイヤーで話をしてるの? プロトコルの欠陥?ネットワーク盗聴?ブラウザーのバグ? 次ページ最新レス表示レスジャンプ類似スレ一覧スレッドの検索話題のニュースおまかせリストオプションしおりを挟むスレッドに書込スレッドの一覧暇つぶし2ch