うぇぶ会議室の部屋4への投稿
記事番号00033へのフォローを投稿します。
お名前(ペンネイムで結構ですが必要です)
(
ブラウザに個人情報を覚えさせない)
電子メイルアドレス(必要です)
題名(必要です)
Home Page がある方はリンク希望先の URL を記載して下さい
会議室に載せたい内容を以下へお書き下さい (
HTMLを解釈せずにそのまま表示)
7月15日に、にあさんは書きました。 >7月14日に、きゅんべるさんは書きました。 > >> いま、うぇぶ会議室の普通の設定では、 >> >> CGIディレクトリ −−−− 会議室1のディレクトリ >> |−− 会議室2のディレクトリ >> |−− 会議室3のディレクトリ >> >>と言うようになってますよね。 >> >> すると、この設定では、会議室の投稿ファイルからcookieをアクセスすると、 >>CGIで使ってるcookieつまり、ハンドルネームやキャンセルコードが見えて >>しまうと思うんです。 > >Cookieに記録されるような情報、つまり、Internet上を平文でやり取りされるような >情報は常に漏洩の危険性に晒されています。特にCookieはHTTPのヘッダとして >やり取りされますから、キャッシュサーヴァのログなどに残っている事も多く、 >基本的に重要物では無い、と思っています。 > >ですから、逆に重要な情報がCookieに記録されるのを避ける意味で、記事の削除に >使うコードに対して「パスワード」と言う言葉を用いずに「キャンセルコード」と >呼んで、常用しているパスワードを記載してしまう事を抑制しようとしているわけです。 > ># とは言え、きっと自分のパスワードを書いちゃっている人もいるんでしょうね。(^^;; > >ただ、「うぇぶ会議室」の運用の面から考えれば、キャンセルコードが分かってしまうのが >よろしくないのは言うまでもないですが。(^^; > >> ディレクトリー構成として、 >> |−− CGIディレクトリ >> |−− 会議室1のディレクトリ >> |−− 会議室2のディレクトリ >> |−− 会議室3のディレクトリ >>とかを推奨したほうがいいと思うのですが、如何でしょう? > >そうですね。こちらの構成の方が安全であるのは確かですし、セキュリティの面から離れても >CGIディレクトリと会議室ディレクトリが同じ階層にあることで、中で使用する画像などを >絶対パスではなく相対パスで表記できるなど利点も多いため望ましいと考えられますね。 > ># 実は次版ではこの様な構成に変えようと思って、現在のCookieを新しい場所に簡単に ># 移行させるための方法なども色々検討していたのですが、次版の開発が止まってしまい ># そのままになってるのが現状です。(^^;;;
ホームペーヂに戻る
nir@mvg.biglobe.ne.jp
Last Update: 2 December 1999