うすゆきブログ

セキュリティ週間6日目【備忘録】5/22

2021年5月23日 2021年5月22日

ひとこと感想

今日学んだこと

クッキーの使い所

クッキーは書き換えられる!
IDとか入れちゃダメ。
通常はセッション変数を。
クッキーはサーバーをまたがったり、セッションを超えて使う必要があるときのみ使う!ex:ログインしたままにするとか

クッキーのセキュア属性

Secure属性つけることで盗聴を防ぐ。←HTTPとS混在だと事故る
できるだけSecure属性つける!!
そのためにサイト全体をHTTPSにする!
HTTP含んでしまうサイトはトークンで対策!

メールヘッダ・インジェクション

HTTPヘッダのときと同じで、改行によって起こるやつ。
正規のメールアドレスから、ウイルス添付のメールや、文章宛先が改変されたものが迷惑メールに引っかからず送れてしまう。

→これもメール機構を自作するんじゃなくて、ライブラリを使うことで対策する!!
あとやはり入力値のバリデーション。