セッションID入りURLに関するセキュリティメモ

雑記
  • 「漏れたらアウトなURL」を作らない
  • 「漏れたらアウトなURL」が漏れた場合の被害を最小化する
    • メルマガの配信停止はできても個人情報関係はログインを要求するとか
    • セッションの期限を3年とかにしない
  • 「漏れたらアウトなURL」を漏らさない
    • 「漏らしたら死ぬ」と書いておく