[PHP-users 16126]Re: セションIDの受け渡しについて
Osamu Shigematsu
m5issige @ mr.hitachi-medical.co.jp
2003年 6月 23日 (月) 10:43:36 JST
重松です。こんにちは。
> セッションIDをアドレスバーにということですが、
> セキュリティの観点からすると、そのIDは伏せておきたい
> のではないのでしょうか?
> だからこそ桁数の多い暗号的なIDを発行しているのではと考えます。
> それを敢えて明示的に表示するのは危険ではないでしょうか?
明示するもしないも、じゃあ、百歩譲って、それを POST で
受け渡して回るとして、確かにアドレスバー (URL の表示部) には
表示はされないですが、結局は、HTTP のストリームを見れば、
丸見えですが?
それよりも、アドレスバーを隠すことにより、
「どこにアクセスしているのか」がわからなくなる方が
よっぽど危険だと私は思ったりします。
特効薬、という言葉に象徴されている感が拭い去れませんが、
セキュリティの基本的な考え方自体に問題があるように思います。
とりあえず、お勧めの特効薬というか、対策は、
(1) まともなコンサルタントを雇い、まともなところに外注する
(2) セキュアな情報を扱わない (をぃ
ではないかと。
--
Osamu Shigematsu <m5issige @ mr.hitachi-medical.co.jp>
PHP-users メーリングリストの案内