セッション中にサーバーに情報を保存することは安全ではなく、悪い考えだと考える人がいると聞いています。
その結果、複数ページのビジネス プロセス関数では、アプリケーションはデータをデータベースに書き込み、必要に応じて情報を取得します。セッションに個人情報を保存することについて、必ずしも安全でないものはありますか?
3 に答える
セッション自体がハイジャックから安全である限り、属性をセッションに保存することによるセキュリティ リスクはありません。
並行性とセッションに関連する深刻な問題がいくつかあります。複数のスレッドが単一のセッションに対して同時にリクエストを行うことは非常に一般的であるため、Session に格納するオブジェクトがスレッド セーフであることを確認する必要があります。それらを不変にするか、同期などのメモリバリアを使用してスレッドセーフにします。この件に関する Brian Goetz の記事を強くお勧めします。
HTTP セッション自体は本質的に安全ではありません。ただし、アプリケーション サーバー/コンテナーによっては、セッション Cookie がブラウザーに返されるメカニズム (およびトランスポート層セキュリティの欠如 - SSL) により、悪意のある人物がさまざまな攻撃 (クロスサイト スクリプティング、セッション ハイジャック) を実行できる可能性があります。など)。HTTP セッションを使用することの完全な影響を理解するために、SQL インジェクションと一緒にこれらのことを調査することに時間を費やします。アプリケーションがファイアウォール内で実行されている場合、ソーシャル エンジニアリングなど、これよりもはるかに大きなセキュリティ リスクが存在することがよくあります。
パフォーマンスと並行性の問題だけでなく、使いやすさについても考慮する必要があります。複数のページを開く、戻るボタン、ブックマーク、サイトへのリンクなどは機能しますか? 私は間違った日にフライトを予約することになり、彼らの陰気なウェブサイトのためにaerlingus.ie
間違ったホテルを予約するところだった.lastminute.com