回答編集履歴
3
文字化けを修正
answer
CHANGED
@@ -1,18 +1,18 @@
|
|
1
|
-
Railsチュートリアル運営チームの安川です!直後の文で補足されているように、セッションハイジャックの可能性は常に付きまといます
|
2
|
-
|
3
|
-
> ただし今述べたことは、sessionメソッドで作成した「一時セッション」にしか該当しません。cookiesメソッドで作成した「永続的セッション」ではそこまで断言はできません。永続的なcookiesには、セッションハイジャックという攻撃を受ける可能性が常につきまといます。ユーザーのブラウザ上に保存される情報については、第9章でもう少し注意深く扱うことにします。
|
4
|
-
> [https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function](https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function)
|
5
|
-
|
6
|
-
では sessions のときには暗号化せずに、cookies のときは暗号化しているのか (どっちみちセッションハイジャックされるとダメなら無駄では??) の理由についてですが、こちらはセキュリティの専門家である [@ockeghem](https://twitter.com/ockeghem) さんが Quora で回答した次の解説が分かりやすいかなと思います
|
7
|
-
|
8
|
-
> Q. セッションを暗号化することになんの意味がありますか?暗号化したとしても、その暗号化したものを使ってリクエストしてしまえばサーバー側で復号してくれるので通ってしまうと思います。
|
9
|
-
> [https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi](https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi)
|
10
|
-
|
11
|
-
なお、上記で回答されている徳丸先生には、Railsチュートリアルを題材にしたセキュリティ入門についても解説していただきました。登壇時の内容およびスライド資料などは下記の記事にまとめています。ご参考になれば幸いです。
|
12
|
-
|
13
|
-
>
|
14
|
-
> [https://yasslab.jp/ja/news/secure-programming-with-rails](https://yasslab.jp/ja/news/secure-programming-with-rails)
|
15
|
-
>
|
16
|
-
> [](https://twitter.com/yasulab/status/1121016150182096896)
|
17
|
-
|
1
|
+
Railsチュートリアル運営チームの安川です!直後の文で補足されているように、セッションハイジャックの可能性は常に付きまといます。
|
2
|
+
|
3
|
+
> ただし今述べたことは、sessionメソッドで作成した「一時セッション」にしか該当しません。cookiesメソッドで作成した「永続的セッション」ではそこまで断言はできません。永続的なcookiesには、セッションハイジャックという攻撃を受ける可能性が常につきまといます。ユーザーのブラウザ上に保存される情報については、第9章でもう少し注意深く扱うことにします。
|
4
|
+
> [https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function](https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function)
|
5
|
+
|
6
|
+
では sessions のときには暗号化せずに、cookies のときは暗号化しているのか (どっちみちセッションハイジャックされるとダメなら無駄では??) の理由についてですが、こちらはセキュリティの専門家である [@ockeghem](https://twitter.com/ockeghem) さんが Quora で回答した次の解説が分かりやすいかなと思います。
|
7
|
+
|
8
|
+
> Q. セッションを暗号化することになんの意味がありますか?暗号化したとしても、その暗号化したものを使ってリクエストしてしまえばサーバー側で復号してくれるので通ってしまうと思います。
|
9
|
+
> [https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi](https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi)
|
10
|
+
|
11
|
+
なお、上記で回答されている徳丸先生には、Railsチュートリアルを題材にしたセキュリティ入門についても解説していただきました。登壇時の内容およびスライド資料などは下記の記事にまとめています。ご参考になれば幸いです。
|
12
|
+
|
13
|
+
> Railsエンジニアのためのウェブセキュリティ入門に参加
|
14
|
+
> [https://yasslab.jp/ja/news/secure-programming-with-rails](https://yasslab.jp/ja/news/secure-programming-with-rails)
|
15
|
+
>
|
16
|
+
> [](https://twitter.com/yasulab/status/1121016150182096896)
|
17
|
+
|
18
18
|
技術の変化に伴ってRailsチュートリアル自体も更新を加える必要もあるため、現在はチームでコンテンツの更新に日々励んでいます!他にも何か気になる点がありましたら [@RailsTutorialJP](https://twitter.com/RailsTutorialJP) までご連絡いただけると嬉しいです (>人< )✨
|
2
Fix typo
answer
CHANGED
@@ -3,7 +3,7 @@
|
|
3
3
|
> ただし今述べたことは、sessionメソッドで作成した「一時セッション」にしか該当しません。cookiesメソッドで作成した「永続的セッション」ではそこまで断言はできません。永続的なcookiesには、セッションハイジャックという攻撃を受ける可能性が常につきまといます。ユーザーのブラウザ上に保存される情報については、第9章でもう少し注意深く扱うことにします。
|
4
4
|
> [https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function](https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function)
|
5
5
|
|
6
|
-
では sessions のときには暗号化せずに、cookies のときは暗号化しているのか (どっちみちセッションハイジャックされるとダメなら無駄では??) の理由についてですが、こちらはセキュリティの専門家である [@ockeghem](https://twitter.com/ockeghem) さんが Quora で回答した次の解説が分かりやすいかなと思います
|
6
|
+
では sessions のときには暗号化せずに、cookies のときは暗号化しているのか (どっちみちセッションハイジャックされるとダメなら無駄では??) の理由についてですが、こちらはセキュリティの専門家である [@ockeghem](https://twitter.com/ockeghem) さんが Quora で回答した次の解説が分かりやすいかなと思います ????
|
7
7
|
|
8
8
|
> Q. セッションを暗号化することになんの意味がありますか?暗号化したとしても、その暗号化したものを使ってリクエストしてしまえばサーバー側で復号してくれるので通ってしまうと思います。
|
9
9
|
> [https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi](https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi)
|
@@ -15,4 +15,4 @@
|
|
15
15
|
>
|
16
16
|
> [](https://twitter.com/yasulab/status/1121016150182096896)
|
17
17
|
|
18
|
-
技術の変化に伴
|
18
|
+
技術の変化に伴ってRailsチュートリアル自体も更新を加える必要もあるため、現在はチームでコンテンツの更新に日々励んでいます!他にも何か気になる点がありましたら [@RailsTutorialJP](https://twitter.com/RailsTutorialJP) までご連絡いただけると嬉しいです (>人< )✨
|
1
Typo fixed!
answer
CHANGED
@@ -1,9 +1,9 @@
|
|
1
|
-
Railsチュートリアル
|
1
|
+
Railsチュートリアル運営チームの安川です!直後の文で補足されているように、セッションハイジャックの可能性は常に付きまといます ><????
|
2
2
|
|
3
3
|
> ただし今述べたことは、sessionメソッドで作成した「一時セッション」にしか該当しません。cookiesメソッドで作成した「永続的セッション」ではそこまで断言はできません。永続的なcookiesには、セッションハイジャックという攻撃を受ける可能性が常につきまといます。ユーザーのブラウザ上に保存される情報については、第9章でもう少し注意深く扱うことにします。
|
4
4
|
> [https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function](https://railstutorial.jp/chapters/basic_login?version=5.1#code-log_in_function)
|
5
5
|
|
6
|
-
では sessions のときには暗号化せずに、cookies
|
6
|
+
では sessions のときには暗号化せずに、cookies のときは暗号化しているのか (どっちみちセッションハイジャックされるとダメなら無駄では??) の理由についてですが、こちらはセキュリティの専門家である [@ockeghem](https://twitter.com/ockeghem) さんが Quora で回答した次の解説が分かりやすいかなと思います ;)
|
7
7
|
|
8
8
|
> Q. セッションを暗号化することになんの意味がありますか?暗号化したとしても、その暗号化したものを使ってリクエストしてしまえばサーバー側で復号してくれるので通ってしまうと思います。
|
9
9
|
> [https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi](https://jp.quora.com/sesshon-wo-angou-ka-suru-kotoni-nan-no-imi-ga-arima-suka-angou-ka-shita-toshite-mo-sono-angou-ka-shita-mono-wo-shi-tte-rikuesuto-shi-te-shima-e-ba-sa-ba-gawa-de-fukugou-shi-te-kureru-node-toori-tte-shimau-to-omoi)
|
@@ -15,5 +15,4 @@
|
|
15
15
|
>
|
16
16
|
> [](https://twitter.com/yasulab/status/1121016150182096896)
|
17
17
|
|
18
|
-
|
19
18
|
技術の変化に伴い、Railsチュートリアル自体も日々更新を加える必要があるため、現在はチームで日々コンテンツを更新し続けています!何か不測の点などありましたら [@RailsTutorialJP](https://twitter.com/RailsTutorialJP) までご連絡いただけると嬉しいです (>人< )✨
|