13/09/14 18:15:07.12 Gr8UsBRI
●のセッションIDは平文ってわけじゃないけど、誰かがパクってコピペすれば有効期間内は使える
で、悪意あるプロクシ運用者などにかっぱらわれる可能性がある
View氏が言ってるのはそういうことでしょう
実際に盗られて荒らしに使われ焼かれた例が数年前にあったような
●のセッションIDを使うのは過去ログを読むときだけではないので、これが送信されるときは
常にSSLを使うなど経路を暗号化しないとパクられる恐れがある
そうすると掲示板サーバとのやりとりも暗号化しなければならないわけでおおごとに
じゃあパクられても使えなくすればいいじゃん
A案 ●のセッションIDの寿命を短くする(既出)→認証サーバが忙しくなる
B案 ●のセッションIDに認証時のIPアドレスを入れて、セッションIDの正当性チェックのときにIPアドレスが
変わっていたら無効にする→認証サーバが少し忙しくなる。一部のスマホなど、IPアドレスが変わり
やすい環境では再ログインの回数が増えて煩わしいかも
(IPアドレスも暗号化されるけど念のためハッシュ化するもまたよし)