- サーバサイドでsecureを指定した場合は
https経由での通信時のみ暗号化されたstorageに内容が保存される
という理解であっていますでしょうか?
"暗号化されたstorage"という箇所はおそらくブラウザの実装次第なのだとは思われますが、
モダンなブラウザを使用する分には気にしなくてもよいでしょうか?
- セッションIDをcookieに保存しているケースはよくあると思いますが、
ブラウザのデベロッパツールなどを用いて
ユーザ自身がセッションIDの中身を閲覧できる事自体がセキュリティの問題になるケースは存在しうるのでしょうか?
第三者ではなくユーザ自身がその行為を行うこと自体はしかたのないこと&
防ぐ手段が思いつかないのですが、
何かしらの有効な対策があるとすれば教えていただきたいです。
cookie名をわかりづらくするぐらいしか思いつきませんでしたが、
根本的な解決方法ではないのであまり効果はなさそうです。
あなたの回答
tips
プレビュー