[PHP-users 13938] Re: 携帯のブラウザでセッション設定について

[akiba]

秋葉と申します。

少しだけ、反論させてください。

> 通信が暗号化されていないと、login 認証も、何を買っているかも
> パケットをタップすれば調べることができるのですから、現時点では
> 個人情報を扱うシステムでこれを行わずにセキュリティを云々しても
> あまり意味はないでしょう。

パソコンシステムの場合はそのとおりと思います。
でも、携帯電話に限定すれば、一概にそう言えるのでしょうか。
パケットをタップするのが、そう簡単なことでしょうか？
簡単にタップ出来る構成にすることは可能でしょうが、考慮の余地は
無いのでしょうか。

「良く考えないといけないよ。」
と言う警告でしたら、全くそのとおりかと思いますが、
「難しいから、やめとけよ。」
と言う意味でしたら、なんだか、気が滅入ってしまいます。

あと、

> で、上記のような接続形式にしたとして、携帯サイトでセションを持った
> アプリケーションを作るには HIDDEN タグを使うくらいしか手はないの
> ではないかと思います。
> 携帯端末に View Source の機能がなければ、とりあえず HIDDEN タグを
> 使っても、実用上の危険はないと言えると考えます。
>
> View Source ができる携帯端末ってあるのでしょうか？

これは、前段とは全く異なる話題かと思います。
セッション番号を端末利用者に見られて、どのような危険が
あるのでしょうか。
第三者への漏洩には、十分な配慮が必要ですが、
端末利用者本人に知らせることで、どのような危険が
生じるのでしょうか？
生成方法が推測されてしまうのではないかといった危惧は、
推測されるような生成方法を使っているのが問題ではないかと
思います。

URLに訳のわからない文字列が並んでいると、見栄えが悪い
ことや、URLの文字数の制限にひっかかる場合があるなど、
危険がなくてもやめたほうがよいといった話とは、別けて考える
べきと思います。

「危険があるかもしれないから」とか、
「安全だとは言い切れないから」といった理由だけで、
チャレンジの芽をつんでしまうのは、いけないことでは
ないのかな？
今の構造改革の時流に反しているのでは？　と、
時代の波に乗り遅れまいともがいている年寄りは
考えている次第です。