11/01/10 22:18:34 7W2WIzTq0
あと、
> 万が一 XSS で
> Cookie を抜かれた場合でもダメージは小さくできるかと.
ということは、ログインは時間制限があるってことですよね。
だって切れなかったらメールアドレスが分からなくなったというだけで、
抜かれたユーザーが自分でパスワード変更しない限りいつまでも認証コード有効ということなり、
有効な認証コードが複数あることになります。
そしたら認証コード有効期限切れを知るための仕組みを導入してもらわないと。
●みたいに書きこんで、bbs.cgiからエラーを通知して再度ログイン、書き込みでもいいけど、
現在みたいにエラーもでずBE無効で書き込みがなされてしまうようではいけない。