回答編集履歴
2
一部質問の意図を取り違えていた箇所を修正しました。
test
CHANGED
|
@@ -22,7 +22,9 @@
|
|
|
22
22
|
|
|
23
23
|
|
|
24
24
|
|
|
25
|
-
この案は必ずしもうまくいかない気がします。二世代ではなく、トークン削除のタイミングを少し遅らせるような実装が考えられますが、そのように複雑な処理はバグを生みやすく、すべてのバグは脆弱性の原因になります。したがって、できるだけ簡明な処理を心がけるべきです。
|
|
25
|
+
~~この案は必ずしもうまくいかない気がします。二世代ではなく、トークン削除のタイミングを少し遅らせるような実装が考えられますが、そのように複雑な処理はバグを生みやすく、すべてのバグは脆弱性の原因になります。したがって、できるだけ簡明な処理を心がけるべきです。~~
|
|
26
|
+
|
|
27
|
+
二世代の意味を取り違えていました。一回目のリクエストでは削除せず、二回目のリクエストで削除するという意味ですね。この場合、一回目のリクエストの時刻を記憶していて、二回目のリクエストとの時間差が1秒未満であれば二回目のリクエストを許容するような案が考えられます。セキュリティ上のリスクはさほどないと思いますが、処理が複雑になるのが難点です。
|
|
26
28
|
|
|
27
29
|
|
|
28
30
|
|
1
typoを修正しました
test
CHANGED
|
@@ -2,7 +2,7 @@
|
|
|
2
2
|
|
|
3
3
|
|
|
4
4
|
|
|
5
|
-
-
|
|
5
|
+
- セッションIDに長い有効期限を設定する (セキュリティ上問題かつ多くのサーバリソースが必要となる)
|
|
6
6
|
|
|
7
7
|
|
|
8
8
|
|