人気記事
注目度の高い記事
NEWS FEED
今日の話題を、1分で追えるニュースまとめ
NEWS FEED
今日の話題を、1分で追えるニュースまとめ
注目度の高い記事
ずんスレ主
セキュリティとか面倒だし、とりあえず動けばいいのだ。
でぇじょうぶ博士
個人開発でも、クッキーやパスワードの管理を間違えると大事故でやんす。
ずん
クッキーってお菓子のことっすよね?
やきう
お前の脳みそがステートレスすぎてワロタ。
でぇじょうぶ博士
HTTPはリクエストごとに独立していて、クッキーでユーザーを識別するでやんす。
ずん
じゃあクッキーに「ずん」って書いて保存すればいいのだ。
やる夫
それだと他人が「ずん」って書いてアクセスしたら終わりだお。
でぇじょうぶ博士
そう。だからランダムな値を使い、サーバー側で紐づけるのが基本でやんす。
ずん
でもJWTってやつはいいんでしょ?
でぇじょうぶ博士
JWTは秘密鍵で署名するから改変は難しい。ただし実装ミスはあるでやんす。
やきう
XSSでクッキー抜かれたら終わりやん。
ずん
XSSってなんすか?かっこいい技?
かっぱ
ユーザーの入力にスクリプト仕込まれて、クッキー持ってかれる攻撃や。
でぇじょうぶ博士
対策はユーザー入力のエスケープ。地味だけど確実でやんす。
ずん
めんどい。HttpOnly属性つければいいんじゃないの?
でぇじょうぶ博士
それだけではXSS対策にならない。JavaScriptから読めなくなるだけでやんす。
やる夫
じゃあLocal Storageはもっと危ないってこと?
でぇじょうぶ博士
そう。HttpOnly属性がないから、XSSされたら一発で抜かれるでやんす。
ずん
じゃあパスワードは平文で保存すればいいよね?
かっぱ
あほか。ハッシュ化してソルト付けるんや。
でぇじょうぶ博士
パスワード漏洩は致命傷。必ずハッシュ化でやんす。
ずん
でもハッシュって逆変換できるんでしょ?
個人開発でシステムを作る場合の注意点その1(HTTP、クッキー、パスワードの管理、XSS、HttpOnle属性、API権限) -Higtyの開発日記-引用元:https://www.higlabo.ai/blog/higty-tech/indie-dev-security-mistakes-1