[PHP-users 13943] Re: 携帯のブラウザでセッション設定について

[Kazumasa Gotoh]

From: "akiba" <akiba@s30.co.jp>
Date: Thu, 13 Mar 2003 16:22:15 +0900

> パソコンシステムの場合はそのとおりと思います。
> でも、携帯電話に限定すれば、一概にそう言えるのでしょうか。
> パケットをタップするのが、そう簡単なことでしょうか？
> 簡単にタップ出来る構成にすることは可能でしょうが、考慮の余地は
> 無いのでしょうか。

ブラウザを使うのが、 PC であるとか携帯端末であるとかに関わらず、
Internet 網を通過する通信パケットはタップされる可能性があります。

それが簡単か難しいかはまた別の話になりますが、SSH や SSL という
プロトコルが存在し、最近ではこれらの使用が推奨される事が多くなって
いるという事自身が、「もはや非暗号化通信パケットは安全ではない」
という傍証にもなるでしょう。
「やる気になった人間」には、十分に簡単だと考えるべきですね。

個人情報その他の重要な情報を暗号化せずに送受信することは、もはや
じゅうぶん危険な行為であると考えなければならない時代になっている
ということなんでしょうね。

> 「難しいから、やめとけよ。」
> と言う意味でしたら、なんだか、気が滅入ってしまいます。

「難しいからやめとけ」でななくて、Internet 網で重要な情報を
やりとりする場合は SSL などで暗号化しないといけない時代だね。
と、言っているだけです。何が気が滅入るんですか？

> > View Source ができる携帯端末ってあるのでしょうか？
> 
> これは、前段とは全く異なる話題かと思います。
> セッション番号を端末利用者に見られて、どのような危険が
> あるのでしょうか。

当該システムの組み方次第という面もありますが、HIDDEN タグに何が
入っているかという事が利用者にわかるという事は、「それをちょっと
書き換えて」リクエストを送ると、他人になりすまして情報を参照したり、
ショッピングモールであれば迷惑注文をする事も可能になる場合があります。

このように、HIDDEN タグが使い方次第では危険なものになるというのは
昔からよく知られていることです。
その前提があるから、他の方も「View Source できる/できない」という
話をしているのだと思いますけど。

> 「危険があるかもしれないから」とか、
> 「安全だとは言い切れないから」といった理由だけで、
> チャレンジの芽をつんでしまうのは、いけないことでは
> ないのかな？
> 今の構造改革の時流に反しているのでは？　と、
> 時代の波に乗り遅れまいともがいている年寄りは
> 考えている次第です。

個人情報その他の重要な情報をやりとりする場合は、セキュリティ面で
じゅうぶんな注意を払ってシステムを組まないと、結局はそのシステムの
利用者に迷惑をかける事になる。という点は理解してらっしゃいますよね？

システムを作成する側は、可能な限りそのような事が起きないように
注意して開発しなければならないのは当然の事ですし、セキュリティ面に
配慮するという事自身も「チャレンジ」だと私は考えますが、違う
のでしょうか？

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
(株) セントラル情報センター
                             後藤和政    kgotoh@cic-kk.co.jp