回答編集履歴
1
字句を補いました
answer
CHANGED
|
@@ -3,7 +3,7 @@
|
|
|
3
3
|
|
|
4
4
|
まず、サーバーサイドでのセッション管理の場合ですが、ファイルなりDBなりインメモリDBなりに保存されたセッション情報そのものを削除すると、仮にセッションIDがあってもセッション情報は復元できません。
|
|
5
5
|
一方、CookieStoreはクッキーそのものに情報が入っているので、「サーバー側で削除」することは当然できないわけです。
|
|
6
|
-
なので、万一クッキーがなんらかの方法で入手されてしまったら、それを無効化する手段がありません。この場合、CookieStoreの暗号を解読しなくても、単にブラウザにセットするだけでセッションを再現できます。緩和策としては、セッション情報の中に有効期限を入れておけば、アプリケーション的に無効にすることはできます。
|
|
6
|
+
なので、万一クッキーがなんらかの方法で入手されてしまったら、それを無効化する手段がありません。この場合、CookieStoreの暗号を解読しなくても、単にブラウザにセットするだけでセッションを再現できます。緩和策としては、セッション情報の中に有効期限を入れておけば、有効期限の後はアプリケーション的に無効にすることはできます。
|
|
7
7
|
|
|
8
8
|
CookieStoreの暗号が解読されてしまったら論外の結果になるわけですが、解読されない場合でも、セッションの無効化ができないのがつらい、ということになります。
|
|
9
9
|
|