CookieにHttpOnly属性をつけました
セッションIDとワンタイムパスワードのCookieにHttpOnly属性をつけました。
HttpOnly属性ってのはFirefox2の時代からあったらしいんですが、知らなかった・・・
属性つけてクッキー発行した場合、
ブラウザサイドのスクリプトから取得できなくなり、若干セキュリティが強化されます。
セッションIDについては
www ←→ ssl
間での通信にクエリで送ってるんで、
Cookieだけ隠してもあまり意味はないかも。
通常ログインに関しては元々クッキーだけではセッション維持できませんが、
ワンタイムログインはクッキーだけで認証できるんでワンタイムパスワードが隠せるのはちょっと意味があると思う。
まあ、クッキーがスクリプトで読めなかったとしても、
スクリプト埋め込めるんならAJAXとか出来ますから、あまり意味ない気もしますけど。
SSLページの方もセッションIDとワンタイムパスワードはクッキーに保存しますが、
SSLページは全てのページでssl.rentafree.net以外のドメインのコンテンツは埋め込んでいませんので、
元々問題があるとは思いませんのでHttpOnly属性はつけていません。
HttpOnly属性ってのはFirefox2の時代からあったらしいんですが、知らなかった・・・
属性つけてクッキー発行した場合、
ブラウザサイドのスクリプトから取得できなくなり、若干セキュリティが強化されます。
セッションIDについては
www ←→ ssl
間での通信にクエリで送ってるんで、
Cookieだけ隠してもあまり意味はないかも。
通常ログインに関しては元々クッキーだけではセッション維持できませんが、
ワンタイムログインはクッキーだけで認証できるんでワンタイムパスワードが隠せるのはちょっと意味があると思う。
まあ、クッキーがスクリプトで読めなかったとしても、
スクリプト埋め込めるんならAJAXとか出来ますから、あまり意味ない気もしますけど。
SSLページの方もセッションIDとワンタイムパスワードはクッキーに保存しますが、
SSLページは全てのページでssl.rentafree.net以外のドメインのコンテンツは埋め込んでいませんので、
元々問題があるとは思いませんのでHttpOnly属性はつけていません。