サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか？ - くろの雑記帳

2022/04/18 179 users ステートレス JWT サーバサイド グロ OWASP TOP

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか？」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」（... 続きを読む

"JWT=ステートレス"から一歩踏み出すための考え方

2021/09/11 295 users ステートレス JWT OWASP TOP 実装 個別

この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む

マイクロサービス時代のセッション管理 - Retty Tech Blog

2021/04/06 240 users Retty Tech Blog マイクロサービス時代

この記事はRetty Advent Calendar 2019 21日目の記事です。エンジニアの 神@pikatenor がお送りします。11日目の記事に書かれた「弊社エンジニアの神（注・人名であり実名です）」とは私のことです。 qiita.com さて世はまさにマイクロサービス大航海時代、大規模化した組織・肥大化したコードベースのメンテナンスを継... 続きを読む

SPA+SSR+APIで構成したWebアプリケーションのセッション管理 - ペパボテックブログ

2020/09/23 193 users ペパボテックブログ Webアプリケーション サーバサイド

カラーミーショップ サービス基盤チームのkymmtです。この記事では、サーバサイドレンダリングするシングルページアプリケーションとAPIサーバからなるWebアプリケーションのセッション管理方法について紹介します。 アプリケーションの構成 構成の概要 今回は例としてEC事業部で提供するカラーミーリピートをとりあげま... 続きを読む

マイクロサービス時代のセッション管理 - Retty Tech Blog

2019/12/22 112 users Retty Tech Blog マイクロサービス時代

この記事はRetty Advent Calendar 2019 21日目の記事です。エンジニアの 神@pikatenor がお送りします。11日目の記事に書かれた「弊社エンジニアの神（注・人名であり実名です）」とは私のことです。 qiita.com さて世はまさにマイクロサービス大航海時代、大規模化した組織・肥大化したコードベースのメンテナンスを継... 続きを読む

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

2019/11/30 397 users r-weblife JWT Webアプリケーション 考え方

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！ リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の... 続きを読む

SPAでのセッション管理とセキュリティ - Qiita

2016/09/16 220 users Qiita SPA セキュリティ

基本 普通にcookie使えばいいと思います。 loginリクエストもajaxで投げればcookie返ってくるので、何も考えることないかなと。 Cookie 動作イメージは以下の形です。 == サーバ → UA == Set-Cookie: SID=31d4d96e407aad42; Path=/; Domain=example.com == UA → サーバ == Cookie: SID=31d... 続きを読む

セッション管理の要注意点 - Qiita

2015/05/28 63 users Qiita 要注意点

Webアプリを開発するに当たって、「自分でセッションを書きたい」なんて思う人はおそらく1%もいないでしょう。とはいえ、標準で備わっているセッション機能に問題や機能不足があって、手を入れざるを得なくなる、という場面も多々存在してしまいます。ここでは、セッションまわりでよく問題になる部分について触れてみましょう。 そもそも、セッションとは Webアプリにおけるセッションは、 接続ごとに固有の識別子（セ... 続きを読む

MEANスタックで始めるWebアプリ開発入門（4）：Node.jsのMVCフレームワーク「Express」における静的ファイル、ルーティング定義、セッション管理、エラー処理 (1/2) - ＠IT

2015/05/18 53 users MEANスタック MVCフレームワーク Express 連載

Node.jsのMVCフレームワーク「Express」における静的ファイル、ルーティング定義、セッション管理、エラー処理 (1/2) MEANスタックを用いたWebアプリの開発方法について紹介していく連載。今回は、Expressを使ったWebアプリ開発に必要な4つの機能として、HTMLやCSS、JavaScriptなどの静的ファイルの使い方、HTTPメソッドや正規表現を使ったルーティング定義、Me... 続きを読む

技術/HTTP/REST設計思想の "Stateless" との付き合い方 - Glamenv-Septzen.net

2015/02/11 203 users Stateless http ステートレス サーバサイド 技術

id: 1350 所有者: msakamoto-sf    作成日: 2015-02-11 21:34:52 カテゴリ: HTTP プログラミング  [ Prev ] [ Next ] [ 技術 ] RESTfulなAPIやWebアプリケーションを開発する際に、一つの疑問が生じる。 RESTでは「ステートレス」を重視して、サーバサイドでのセッション管理ではなく、クライアント側で認証情報や状態を保持... 続きを読む

PHPアプリケーションのセッション管理にAWS ElastiCacheを使う ｜ Developers.IO

2014/05/15 219 users Developers.IO PHPアプリケーション

こんにちは。望月です。 AWS上でシステムを構築する上で、「AWSのお作法に従う」のは印象以上に重要です。お作法に関しては色々とあるのですが、 *1その中でも一番大きいのは「サーバーは故障するものという前提で設計する」ことにあると思います。例えば、以下の様な点です。 WebサーバやAPサーバなどはロードバランサを介して冗長化し、単一障害点ではなくす 保管する必要のあるデータは全てS3に保管するか、... 続きを読む

MemcachedでPHPのセッション管理 on AmazonEC2 « Linux練習帳

2012/10/13 122 users ユーザ サーバ セッション 保持 Webサーバ

複数のWebサーバでロードバランス環境を構築するとき、セッション情報の保持を考慮しなければならない。初期設定のPHPは、セッション情報をファイルとして保持しているため、異なるWebサーバに処理が割り振られるとセッション情報が消失してしまうからだ。こういった環境においてセッションを維持する方法は2つある。 セッション維持方法 同じユーザは同じサーバに割り振る セッション情報をサーバ間で共有する 1の... 続きを読む

実は厄介、ケータイWebのセッション管理（1/3） − ＠IT

2011/05/26 523 users 厄介 性善説 ケータイWeb 徳丸浩 セキュリティ

第3回 実は厄介、ケータイWebのセッション管理 京セラコミュニケーションシステム株式会社 ネットワークサービス事業本部 技術顧問 徳丸浩 2011/5/26 “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのある... 続きを読む

携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem(徳丸浩)の日記

2009/07/13 520 users ockeghem Session 徳丸浩 索引 本書

■携帯電話向けWebアプリのセッション管理はどうなっているか 最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムの... 続きを読む

プログラマの思索: Webアプリのセッション管理はデスクトップアプリのメモリ管理と同じ

2008/02/24 326 users デスクトップアプリ 思索 Ajax プログラマ アーキテクチャ

Webアプリ開発で必ずぶち当たる課題、Webアプリ特有の技術、アーキテクチャについて考えてみる。 古くから続く課題を知れば、次世代Webフレームワークがどのように解決しようとして、何を提示しようとしているか分かりやすくなるだろう。 ＃以下、セキュリティ関係などを除く。 Webアプリは、Ajaxが登場するまで、UIがブラウザで制限されているため、それほど難しい機能を実装できなかった歴史があった。 古... 続きを読む

PHPで安全なセッション管理を実現する方法 - いしなお! (2006-08-25)

2006/08/25 370 users PHP 方法

_ 残り容量が数十Mバイトになっていた PCがなんかくそ遅いなーと思ってふと空きディスク容量をみたら、残り数十Mバイトまで減っていた。Folder Size for Windowsで各ディレクトリ単位のディスク使用量をながめてみたところ、 Thunderbirdでimapでアクセスしているアカウントのデータフォルダに、なぜか1GバイトオーバーのINBOXファイルがあった。なにこれ？　削除したけど別... 続きを読む

yohgaki's blog - PHPのSession Fixation問題

2006/02/05 111 users PHP yohgaki's blog セッシ バッチ 固定化

PHPのセッション管理はセッションの固定化（Session Fixation）に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッシ... 続きを読む