at posts/single.html

はてな認証APIで tDiary にログイン (2)

昨日の日記の続き。 tDiary 外部認証機能において、セキュリティ面で気になっているところをリストアップしておく(ToDoリストとも言う)。

Ruby の CGI::Session の仕様によるけど、 URL へのセッション ID 埋め込みに対応していなければ、(XSS 脆弱性がない限りは)後者の問題は大丈夫なはず。 Ruby のセッション管理の仕様については、ruby-list の議論を読むとよさそう。

追記

Cookie Monsterという、同一ドメインの別サーバから任意の Cookie データを送り込む攻撃もあるとの指摘をいただいた。 やはりログイン後に Cookie を発行するように対策しないとダメだ。

関連する日記