スレ立てるまでもない質問はここで 158匹目

■ このスレッドは過去ログ倉庫に格納されています
2021/10/26(火) 05:30:43.46ID:jRF91jUl
この板はプログラムを作る人のための板です。
あらゆる質問はまず
スレ立てるまでもない質問はここで
スレにしてください。

【前スレ】
スレ立てるまでもない質問はここで 157匹目
https://mevius.5ch.net/test/read.cgi/tech/1624024239/

次スレは>>980が立てること
2021/11/27(土) 11:14:51.31ID:Jeyt5rEW
>>294
仕方ないかと
トークンみたいなものは送らないとそもそも認識出来ないだろうしね
クッキーにしても同じだから
2021/11/27(土) 11:41:22.05ID:tYk9bajm
ヘッダも暗号化されてるから大丈夫だよ
そこを疑ったらHTTPSが意味ないということになりボディも同じだけ危険ということになる
2021/11/27(土) 12:20:45.49ID:eX2le/NS
>>294
心配ならその機密情報とやらを暗号化しとけばいいんじゃね?
2021/11/27(土) 12:51:23.13ID:wymfOW3B
>>294
それがダメならAWS標準のAuthorizationヘッダ自体もダメということになる事からも安心していいよ
2021/11/27(土) 13:16:49.36ID:z8jcIZfA
ポイントは大きく2つあって、
1. 正しい相手と通信していること
2. 通信を傍受されないこと
このうち2については他の人のレスの通り、HTTPSならTLSにより暗号化されているからOK
1については見落とされがちだけど非常に重要で、これが確認できてないと相手をAWSだと思って機密情報を送ったら実際には中国の雑居ビルに送られていたということがありうる
それについてもTLSでサーバーの検証を行っていれば一般的にはOK
2021/11/27(土) 13:32:55.63ID:z8jcIZfA
あと、>>299はあくまでクライアントが正しく実装・運用されていれば安全であるという話で、
例えばクライアント側が勝手にサーバーの検証を無効化していて誤って中国の雑居ビルに機密情報を送ってしまうことは必ずしも防げないわけ
そうなったときの被害をできるだけ低減することも重要で、例えば>>298のAWSのAuthorizationヘッダの例では、APIキーをそのまま送るのではなくキーと日付とリクエストの内容を混ぜてハッシュ化した値を署名として送るようになっている
そうすることで仮に漏れてもそのリクエストでしか有効でない認証情報になるわけだね
やらかしたとしてもあくまでクライアント側の責任なんで、そこまでやるかはサービスのポリシー次第
■ このスレッドは過去ログ倉庫に格納されています
5ちゃんねるの広告が気に入らない場合は、こちらをクリックしてください。