0

ユーザーがログインしている (ペルソナがない) ページを読み込むと、クライアントは Cookie を含むリクエストを送信します。Cookie はユーザーを認証し、サーバーは識別されたユーザーの機密情報を含むページを送信できます。

Observer API で Persona を使用する ページを送信するときに、loggedInUserを埋め込み、サーバーがログインしていると見なすユーザーを Persona に伝えます。

ペルソナが、 loggedInUserがサーバーが認識している人物であると認識しない場合、潜在的な問題が発生します。その場合、「onLogout」または「onLogin」コールバックを取得します。

ペルソナの意見を真剣に受け止めるつもりなら、安全に進める方法は次のとおりです。

  • リクエストを送る
  • 機密情報を含まないページを送信する
  • ペルソナがloggedInUserに同意する場合は機密情報を送信し、そうでない場合はログインまたはログアウトします

これは、Web アプリケーションを複雑にするだけでなく、ページに 2 回の往復を必要とするため、非効率的です。

ペルソナのドキュメントからは、何をするつもりなのかが非常に不明確です。誰がログインしているかについてのペルソナの理論を無視するのが最も簡単です。

私はほぼ確実に何かが欠けていますが、上で説明したように、これは壊れているように見えます。

4

1 に答える 1

0

あなたの質問を正しく理解できれば、ユーザー (ユーザー A) の機密情報が別のユーザー (ユーザー B) に漏洩することを心配しているでしょう。

ただし、この場合、サイトを閲覧している人はユーザー A の有効な Cookie を持っており、ユーザー B としてペルソナにもログインしているため、両方のユーザー アカウントが同じ人物の管理下にあると想定できると思います。これらの両方で、彼/彼女はすでに両方のユーザー アカウントにアクセスできるため、ユーザー A またはユーザー B の情報が関係のない人に実際に漏洩することはありません。

もちろん、共有コンピュータの場合、Cookie は他の誰かから残される可能性がありますが、その場合、機密情報のフラッシュだけでなく、より大きな問題があります。現在コンピュータの前にいるユーザーが、実際にはユーザーになりすます可能性があります。 Cookie をクリアせずにコンピュータを離れた。

于 2013-07-12T18:06:45.197 に答える