Secure Cookieの話 | 今日もWEB更新してたら

Secure Cookieの話

PHPにおいてもCookieのセキュアモードがサポートされてるわけですが。



セキュアモードのクッキーを利用する場面というのは?


ログイン情報。

決済の画面遷移のおけるSession管理


とくにセッション管理で使うCookieはセキュアにしないとやばいだろうなぁ


銀行やネットトレードなどはセキュアモードのクッキーによるセッションだけをサポートしているが。

ブラウザがパスワードを自動保存するためにクッキーを発行してログイン情報保持していても

全く変わらない気がする。


HTTPSによる通信というのは今後もっともっとスタンダードになるんだろうけど。


暗号化強度の問題というのも存在するわけで。


通信速度の確保のを考えると128bitの暗号化はデメリットがあるんだろうか。

https://s10.kabu.co.jp/_mem_bin/members/login.asp?/members

Kabu.comでは暗号化強度を下げているのだけど。意味があるんだろうか。


そこでHTTPとHTTPSのハイブリッドな通信環境が出現する余地があると思う。


個人情報を含まないImageなどはHTTPで。

個人情報を含むものはAjaxでワンタイム描画。


さらに強化するなら、JavaScriptによる暗号化も可能だろう。



もっともパケット盗聴なんてそうそう頻発するものではないのだろうけど。

hostsファイル書き換えとかプロキシサーバ乗っ取りとかDNS乗っ取りが起きたとき怖いな。


そしてHTTPSサーバの証明書をどうやって管理するか。


結局、大勢で共有する資源の管理手法の問題に行き着く。


DNSサーバーとかプロキシサーバとかルート証明書とか。