スレ立てるまでもない質問はここで 158匹目
■ このスレッドは過去ログ倉庫に格納されています
この板はプログラムを作る人のための板です。
あらゆる質問はまず
スレ立てるまでもない質問はここで
スレにしてください。
【前スレ】
スレ立てるまでもない質問はここで 157匹目
https://mevius.5ch.net/test/read.cgi/tech/1624024239/
次スレは>>980が立てること >>294
仕方ないかと
トークンみたいなものは送らないとそもそも認識出来ないだろうしね
クッキーにしても同じだから ヘッダも暗号化されてるから大丈夫だよ
そこを疑ったらHTTPSが意味ないということになりボディも同じだけ危険ということになる >>294
心配ならその機密情報とやらを暗号化しとけばいいんじゃね? >>294
それがダメならAWS標準のAuthorizationヘッダ自体もダメということになる事からも安心していいよ ポイントは大きく2つあって、
1. 正しい相手と通信していること
2. 通信を傍受されないこと
このうち2については他の人のレスの通り、HTTPSならTLSにより暗号化されているからOK
1については見落とされがちだけど非常に重要で、これが確認できてないと相手をAWSだと思って機密情報を送ったら実際には中国の雑居ビルに送られていたということがありうる
それについてもTLSでサーバーの検証を行っていれば一般的にはOK あと、>>299はあくまでクライアントが正しく実装・運用されていれば安全であるという話で、
例えばクライアント側が勝手にサーバーの検証を無効化していて誤って中国の雑居ビルに機密情報を送ってしまうことは必ずしも防げないわけ
そうなったときの被害をできるだけ低減することも重要で、例えば>>298のAWSのAuthorizationヘッダの例では、APIキーをそのまま送るのではなくキーと日付とリクエストの内容を混ぜてハッシュ化した値を署名として送るようになっている
そうすることで仮に漏れてもそのリクエストでしか有効でない認証情報になるわけだね
やらかしたとしてもあくまでクライアント側の責任なんで、そこまでやるかはサービスのポリシー次第 ■ このスレッドは過去ログ倉庫に格納されています