[PHP-users 16126]Re: セションIDの受け渡しについて

Osamu Shigematsu m5issige @ mr.hitachi-medical.co.jp
2003年 6月 23日 (月) 10:43:36 JST


重松です。こんにちは。

> セッションIDをアドレスバーにということですが、
> セキュリティの観点からすると、そのIDは伏せておきたい
> のではないのでしょうか?
> だからこそ桁数の多い暗号的なIDを発行しているのではと考えます。
> それを敢えて明示的に表示するのは危険ではないでしょうか?

明示するもしないも、じゃあ、百歩譲って、それを POST で
受け渡して回るとして、確かにアドレスバー (URL の表示部) には
表示はされないですが、結局は、HTTP のストリームを見れば、
丸見えですが?

それよりも、アドレスバーを隠すことにより、
「どこにアクセスしているのか」がわからなくなる方が
よっぽど危険だと私は思ったりします。

特効薬、という言葉に象徴されている感が拭い去れませんが、
セキュリティの基本的な考え方自体に問題があるように思います。

とりあえず、お勧めの特効薬というか、対策は、

	(1) まともなコンサルタントを雇い、まともなところに外注する
	(2) セキュアな情報を扱わない (をぃ

ではないかと。

-- 
Osamu Shigematsu <m5issige @ mr.hitachi-medical.co.jp>



PHP-users メーリングリストの案内