スレ立てるまでもない質問はここで 158匹目

[0001 デフォルトの名無しさん 2021/10/26(火) 05:30:43.46 ID:jRF91jUl]

この板はプログラムを作る人のための板です。
あらゆる質問はまず
スレ立てるまでもない質問はここで
スレにしてください。

【前スレ】
スレ立てるまでもない質問はここで 157匹目
https://mevius.5ch.net/test/read.cgi/tech/1624024239/

次スレは>>980が立てること

[0295 デフォルトの名無しさん 2021/11/27(土) 11:14:51.31 ID:Jeyt5rEW]

>>294
仕方ないかと
トークンみたいなものは送らないとそもそも認識出来ないだろうしね
クッキーにしても同じだから

[0296 デフォルトの名無しさん 2021/11/27(土) 11:41:22.05 ID:tYk9bajm]

ヘッダも暗号化されてるから大丈夫だよ
そこを疑ったらHTTPSが意味ないということになりボディも同じだけ危険ということになる

[0297 デフォルトの名無しさん 2021/11/27(土) 12:20:45.49 ID:eX2le/NS]

>>294
心配ならその機密情報とやらを暗号化しとけばいいんじゃね？

[0298 デフォルトの名無しさん 2021/11/27(土) 12:51:23.13 ID:wymfOW3B]

>>294
それがダメならAWS標準のAuthorizationヘッダ自体もダメということになる事からも安心していいよ

[0299 デフォルトの名無しさん 2021/11/27(土) 13:16:49.36 ID:z8jcIZfA]

ポイントは大きく2つあって、
1. 正しい相手と通信していること
2. 通信を傍受されないこと
このうち2については他の人のレスの通り、HTTPSならTLSにより暗号化されているからOK
1については見落とされがちだけど非常に重要で、これが確認できてないと相手をAWSだと思って機密情報を送ったら実際には中国の雑居ビルに送られていたということがありうる
それについてもTLSでサーバーの検証を行っていれば一般的にはOK

[0300 デフォルトの名無しさん 2021/11/27(土) 13:32:55.63 ID:z8jcIZfA]

あと、>>299はあくまでクライアントが正しく実装・運用されていれば安全であるという話で、
例えばクライアント側が勝手にサーバーの検証を無効化していて誤って中国の雑居ビルに機密情報を送ってしまうことは必ずしも防げないわけ
そうなったときの被害をできるだけ低減することも重要で、例えば>>298のAWSのAuthorizationヘッダの例では、APIキーをそのまま送るのではなくキーと日付とリクエストの内容を混ぜてハッシュ化した値を署名として送るようになっている
そうすることで仮に漏れてもそのリクエストでしか有効でない認証情報になるわけだね
やらかしたとしてもあくまでクライアント側の責任なんで、そこまでやるかはサービスのポリシー次第