Session的資訊安全設計原則、測試、個案與實作 這篇文章主要說明 Session 所帶來的資訊安全風險與安全設計相關議題。 由於 HTTP本身沒有狀態區別。因此如果要針對連線區別當下的狀態(例如:購物車、帳號密碼登入前與登入後等), 這些狀態就會有所謂的 Session Management。最普遍 Session的做法就是使用 cookie。 Session處理不當也容易讓駭客有機會可以不需要知道帳號密碼而取得授權直接存取相關資源。 因此要如何設計一個比較安全的 Session Management 舊式這篇文章要討論的範圍。 Session Management 安全設計原則 Session…