[PHP-users 13950] Re: 携帯のブラウザでセッション設定について
akiba
php-users@php.gr.jp
Thu, 13 Mar 2003 19:44:19 +0900
> 「難しいからやめとけ」でななくて、Internet 網で重要な情報を
> やりとりする場合は SSL などで暗号化しないといけない時代だね。
> と、言っているだけです。何が気が滅入るんですか?
お気にさわったのなら、もうしわけありません。
> 当該システムの組み方次第という面もありますが、HIDDEN タグに何が
> 入っているかという事が利用者にわかるという事は、「それをちょっと
> 書き換えて」リクエストを送ると、他人になりすまして情報を参照したり、
> ショッピングモールであれば迷惑注文をする事も可能になる場合があります。
>
> このように、HIDDEN タグが使い方次第では危険なものになるというのは
> 昔からよく知られていることです。
> その前提があるから、他の方も「View Source できる/できない」という
> 話をしているのだと思いますけど。
HIDDEN タグが使い方次第では危険なものになるのは、
おっしゃるとおりですが、それは一般的なお話です。
今話題にしているのは、セッションですから、HIDDENで
情報交換するのは、セッションIDのみとかんがえる
べきではないでしょうか。
「ちょっと書き換えて」もなんとかなってはいけないのが、
セッションIDだと思います。
HIDDEN タグが使い方次第では危険なものになるということには
異論はありませんが、その使い方を議論したほうが、
より良い方向ではないかと思っています。
> システムを作成する側は、可能な限りそのような事が起きないように
> 注意して開発しなければならないのは当然の事ですし、セキュリティ面に
> 配慮するという事自身も「チャレンジ」だと私は考えますが、違う
> のでしょうか?
私は、後藤さんのご意見は、基本的には正しいと思っています。
正論だろうと思います。
ですから、「違う のでしょうか?」と問われると、
「全くそのとおりです。」となってしまいます。
ただ、正論だけではなんだかつまらないように感じています。
「なにがつまらないのか?」
は、勘弁してください。