徳丸本輪読会

Transcript

1. ಙؙձୈ̏ճ ຢདྷ ܆

2. Cookieग़ྗʹ·ͭΘΔ੬ऑੑ • େ͖͘෼͚Δͱ̎छྨͷ੬ऑੑ • CookieΛར༻͢΂͖Ͱͳ͍໨తͰ࢖͍ͬͯΔ • Cookieͷग़ྗํ๏ʹ໰୊͕͋Δ IDΛอଘͩͧ σʔλͦͷ΋ͷΛอଘ͢Δͳ

3. ग़ྗ࣌ʹൃੜ͠΍͍͢੬ऑੑ • HTTPϔομɾΠϯδΣΫγϣϯ੬ऑੑ • CookieͷηΩϡΞଐੑෆඋ

4. ෆద੾ͳར༻ • WEBϖʔδͰϖʔδΛ·͕ͨΔ৘ใΛอଘ͢Δํ๏ͱͯ͠ ͸ɺηογϣϯ؅ཧػߏΛ༻͍ΒΕΔɻ͜ͷػߏͰ͸ηογϣ ϯIDͷΈΛCookieʹอଘ͠ɺσʔλࣗମ͸webαʔόͷϝϞ Ϧ΍ϑΝΠϧɺDBͳͲʹอଘ͢Δɻ • ηογϣϯม਺͸֎෦͔Βॻ͖׵͑ΒΕͳ͍͕ɺCookie͸ར ༻ऀ͔Β΋มߋ͕Ͱ͖ͯ͠·͏

5. CookieʹσʔλΛอଘ͠ͳ͍ํ͕ྑ͍ʂ • CookieͰ࣮ݱͰ͖ͯηογϣϯม਺Ͱ࣮ݱͰ͖ͳ͍͜ͱ͸ɺ ʮ৘ใͷण໋ͷ੍ޚʯͱʮҟͳΔαʔόʔͷ৘ใڞ༗ʯ • ͜ͷ̎఺Ҏ֎͸ηογϣϯม਺Λར༻͠Α͏ • CookieΛར༻͢΂͖λΠϛϯάɿ
 ɹɹɹɹɾϩάΠϯ৘ใΛอ࣋͢Δ
 ɹɹɹɹ

6. CookieͷηΩϡΞଐੑෆඋ Secureଐੑͱ͸ʁ http ͱ https ͱ֤௨৴Ͱ૬ޓͷߦ͖དྷ͕͋Δ৔߹ͳͲʹ
 https ͷ௨৴ͰͷΈ࢖͏΂͖Cookieͷ஋͕
 http ͷ௨৴ʹྲྀग़͢Δ͓ͦΕ͕͋Δɻ

   ͦΕΛ๷͙ҝʹ Cookie ʹ secure ଐੑΛ෇͚ͯ
 https ௨৴ͰͷΈѻ͑ΔΑ͏ʹ͢Δͱ͍͏ରࡦ͕͋Δ

7. ߈ܸख๏ ࣍ͷखॱͰฏจͷΫοΩʔ͕ωοτϫʔΫ্ʹྲྀΕΔɻ ·ͣɺHTTPSͰ͔ͭSecureଐੑͷ͔ͭͳ͍ΫοΩʔΛൃߦ͢ΔϖʔδΛӾཡ͠ɺϒϥ΢βʔʹΫοΩʔ Ληοτ͢Δɻྫͱͯ͠URL͸ https://www.example.jp/set_non_secure_cookie.php ͱ͢Δɻ ࣍ʹ᠘ϖʔδΛӾཡ͢Δɻ᠘ϖʔδʹ͸ԼهͷΑ͏ͳݟ͑ͳ͍imgλάʢ෯ͱߴ͕͞0ʣؚ͕·Ε͍ͯ Δɻ <img src="http://www.example.jp:443/trap/

   width="0" height="0" /> URLͰࢦఆ͞Εͨϙʔτ൪߸443͸HTTPSͷσϑΥϧτϙʔτ͕ͩɺεΩʔϜ͕ʮhttp:ʯͱࢦఆ͞Ε͍ͯ ΔͷͰ͜ͷϦΫΤετ͸҉߸Խ͞Εͣʹૹ৴͞ΕΔɻϒϥ΢βʹΫοΩʔΛૹ৴ͤ͞Δͷ͕໨తͳͷͰɺ URLͷը૾͸ͳͯ͘΋߈ܸ͸੒ཱ͢Δɻ ߈ܸऀ͕͜ͷ҉߸Խ͞Ε͍ͯͳ͍ΫοΩʔΛ౪ௌͰ͖Δ৔߹ɺηογϣϯϋΠδϟοΫʹѱ༻Ͱ͖Δɻ

8. ݪҼ ௚઀ͷݪҼ͸୯ʹSecureଐੑΛ෇͚͍ͯͳ͍ͱ͍͏͚ͩͷ͜ ͱ͕ͩɺSecureଐੑΛ෇͚ͳ͍ओͳݪҼ͸ҎԼͷ2छྨ͕͋Δ ͱࢥΘΕΔɻ • ։ൃऀ͕Secureଐੑʹ͍ͭͯ஌Βͳ͍ɻ • SecureଐੑΛ෇͚ΔͱΞϓϦέʔγϣϯ͕ಈ͔ͳ͘ͳΔɻ

9. ରࡦ ηογϣϯIDͷΫοΩʔʹSecureଐੑΛ෇͚Δ ΫοΩʔͷSecureଐੑෆඋͷରࡦ͸ΫοΩʔʹSecureଐੑΛ෇͚Δ͜ͱͰ ͋Δɻ PHPͰ͸php.iniʹҎԼͷઃఆΛ͢Δɻ session.cookie_secure = On Aapache Tomcatͷ৔߹ɺHTTPS઀ଓ͞ΕͨϦΫΤετʹରͯ͠ɺηογϣ

   ϯIDͷΫοΩʔʹ͸ࣗಈతʹSecureଐੑ͕ઃఆ͞ΕΔɻ

10. τʔΫϯΛར༻ͨ͠ରࡦ ηογϣϯIDΛอ࣋͢ΔΫοΩʔʹSecureଐੑ͕෇͚ΒΕͳ ͍৔߹ɺτʔΫϯΛར༻ͯ͠ηογϣϯϋΠδϟοΫΛ๷ࢭ͢ Δɻ τʔΫϯΛอ࣋͢ΔΫοΩʔʹSecureଐੑΛ෇͚Δ͜ͱʹ ΑͬͯɺHTTPϖʔδͱHTTPSϖʔδͰηογϣϯΛڞ༗ͭ͠ ͭɺԾʹηογϣϯIDΛ౪ௌ͞Εͨ৔߹Ͱ΋HTTPSϖʔδ͸ ηογϣϯϋΠδϟοΫΛ๷ࢭͰ͖Δɻ

11. τʔΫϯ͕ͳͥྑ͍ͷ͔ʁ • τʔΫϯ͸ೝূ੒ޭ࣌ʹҰ౓͚ͩαʔόʔ͔Βग़ྗ͞ΕΔ • τʔΫϯ͸HTTPSͷϖʔδͰੜ੒͞ΕΔ • τʔΫϯ͸࣮֬ʹ҉߸Խ͞Εͯϒϥ΢β͔Βૹ৴͞ΕΔ • HTTPSͷϖʔδΛӾཡ͢Δʹ͸τʔΫϯ͕ඞਢ͔ͩΒ αʔόʔͱϒϥ΢βͷ૒ํ޲Ͱ࣮֬ʹ҉߸Խ͞Εɺୈࡾऀ͕֬

    ࣮ʹ஌Γಘͳ͍τʔΫϯ͕ඞཁʹͳΔ͔Βɺ҆શੑ͕֬อ͞ Ε͍ͯΔ

12. ·ͱΊ • ݪଇͱͯ͠͸ηογϣϯIDͷΈʹ༻͍Δ͜ͱ • HTTPS௨৴Λ༻͍ΔΞϓϦέʔγϣϯͷCookieʹ͸ηΩϡ ΞଐੑΛ͚ͭΔ

13. END