Re: 管理画面へのアクセスを「httpsのみ」にしたい

2015年9月29日 at 11:51

菱川さん 遠藤さん

ありがとうございます!

アプリケーション診断にて、「ログイン情報をCookieに入れている場合は、セキュアな状態にしてね」という指摘がありました。

ログイン画面をhttpsにしても、ログイン後以降がhttpになってしまうのが、悩ましかった部分です。

管理機能全般もSSLで使用することになりますので、
httpsでのアクセス時は、フルページキャッシュをしないような処理も加えています。

SSLが使えるサーバ前提になりますが、セキュリティ診断が入る案件に対しては、幾分調整が必要な感じでした。

他には、細かいですが、
ログイン画面の「パスワード入力」には、オートコンプリートをOFFにしてね。
とか
ログイン後ページは、ブラウザキャッシュもno-cacheにしてね。
とか、小さい指摘は諸々ありますね。

Re: 管理画面へのアクセスを「httpsのみ」にしたい

2015年9月29日 at 12:30
診断にnessusとかを使っていれば世界基準なので、通るようにしておきたいですね。対策されたものをまとめて、プルリクエストを送りたいところです。