セキュリティ週間6日目【備忘録】5/22

ひとこと感想

今日学んだこと

クッキーの使い所

クッキーは書き換えられる！
IDとか入れちゃダメ。
通常はセッション変数を。
クッキーはサーバーをまたがったり、セッションを超えて使う必要があるときのみ使う！ex:ログインしたままにするとか

クッキーのセキュア属性

Secure属性つけることで盗聴を防ぐ。←HTTPとS混在だと事故る
できるだけSecure属性つける！！
そのためにサイト全体をHTTPSにする！
HTTP含んでしまうサイトはトークンで対策！

メールヘッダ・インジェクション

HTTPヘッダのときと同じで、改行によって起こるやつ。
正規のメールアドレスから、ウイルス添付のメールや、文章宛先が改変されたものが迷惑メールに引っかからず送れてしまう。

→これもメール機構を自作するんじゃなくて、ライブラリを使うことで対策する！！
あとやはり入力値のバリデーション。