Cookieをbakeしてみる
あけましておめでとうございます。(ふぇぶらりーですね。
今まで色んなものをbakeしてきましたが、ついに!ついに!お菓子が焼けます!
Cookie(HTTP Cookie)とは - IT用語辞典 e-Words
docomoがようやく本気を出してきた件
最近は、携帯サイト(スマホ含む)の構築をしてます。
携帯サイトの構築で、いやでもブチ当たる壁が「セッション管理どうすんのさ?」って話ね。
現在の段階では、ようやく、セッション管理のCookieウマーの時代がやってきているようですね。
徳丸本なるもの
セッション周りのセキュリティはこちらでお勉強。
キャリア毎の違いや対応方法・対策など、へぇ〜なことが詰まってます。
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
- 作者: 徳丸浩
- 出版社/メーカー: SBクリエイティブ
- 発売日: 2011/03/01
- メディア: 単行本
- 購入: 119人 クリック: 4,283回
- この商品を含むブログ (146件) を見る
おもちゃで遊び終えたら、おもちゃ箱に戻しましょう!
まだまだdocomoユーザーの半分ほどは、cookie非対応端末のようで、
「あなたクッキー食べれないから、このサイト見せませーん!」っていう意地悪はしなかったんです。
(URLにパラメータ渡して〜ってやつ。)
・・・が、SSLを部分適用(ログイン系・会員登録系のみに使用する)の場合、auさんが「あう〜。。。orz」ってなるんです。
au,SoftBankでSSLでCookieセッションを使用する場合の問題点 - maru.cc@はてな
僕がはまったときは、
ログイン前TOP(非SSL)→ログイン(SSL)→ログイン後TOP(非SSL)っていう遷移のときで、
認証に成功して、非SSLのログイン後TOPにリダイレクト・・・するはずなのに、ログイン前TOPに行く。みたいな。
(セッションが引き継がれないアレですね。)
うーん、どうするかなぁ・・・リリース近いしなぁ・・・っていうのもあって、
・docomo,auはcookieを使用しない
・softbank,他はcookieを使用する
っていう結論に至ったわけですが。
「サイトとしてSSLをどうするかを決める→セッションの引き継ぎの方針が決まる」ってことを肝に命じておく。
格言的な
まだまだCookieはまずい。