Slide 14
Slide 14 text
動機2: 特定のセッションを失効させることが難しい
14
● 課題1: Cookieそのものの有効期限は書き換え可能
○ 暗号化されたCookie内に独自の日時情報を含むことで対応
● 課題2: いざというときに即座に失効させられない
○ 課題1の日時情報やログインユーザーに紐づく情報でフィルタして対応
● 課題3: ログアウトしてもセッションは失効しない
○ Cookieの原理上しかたない。必要に応じて課題2と同様に対応
特に課題2,3では、場当たり的な対応になっており運用コストが増大していた
Q. フィルタ機能をシステム化すればよいのでは?
● 失効させたいセッションを特定する情報を別のストレージで持つ必要性
● nonceと同じく、Cookieの利点が損なわれる