Hello there, ('ω')ノ

 

「RememberMe」機能の手順を。

 

１．「remember me」機能をアクティブにして。

　　その機能が実際にユーザを完全に「記憶」するかどうか。

　　またはユーザ名のみを記憶し、その後のアクセス時にパスワードの入力を

　　要求するかどうかを判断します。

　　後者の場合、機能がセキュリティ上の欠陥を明らかにする可能性は

　　はるかに低くなります。

 

２．設定されているすべての永続Cookieと、Internet ExplorerのuserData、

　　Silverlight分離ストレージ、Flashローカル共有オブジェクトなどの

　　他のローカルストレージメカニズムに永続化されているデータを

　　綿密に検査します。

　　ユーザを明示的に識別する、またはユーザの予測可能な識別子が

　　含まれているように見える保存データを探します。

 

３．保存されたデータが高度にエンコードまたは難読化されているように

　　見える場合でも、これを注意深く確認してください。

　　いくつかの非常に類似したユーザ名やパスワードを「記憶」した結果を比較して、

　　元のデータをリバースエンジニアリングする機会を特定します。

　　ここでは、セッショントークンの意味とパターンを検出します。

 

４．永続的なCookieの内容を変更して、別のユーザが自分の詳細を

　　コンピュータに保存したことをアプリケーションに納得させようとします。

 

Best regards, (^^ゞ