[PHP-users 13950] Re: 携帯のブラウザでセッション設定について

[akiba]

> 「難しいからやめとけ」でななくて、Internet 網で重要な情報を
> やりとりする場合は SSL などで暗号化しないといけない時代だね。
> と、言っているだけです。何が気が滅入るんですか？

お気にさわったのなら、もうしわけありません。

> 当該システムの組み方次第という面もありますが、HIDDEN タグに何が
> 入っているかという事が利用者にわかるという事は、「それをちょっと
> 書き換えて」リクエストを送ると、他人になりすまして情報を参照したり、
> ショッピングモールであれば迷惑注文をする事も可能になる場合があります。
>
> このように、HIDDEN タグが使い方次第では危険なものになるというのは
> 昔からよく知られていることです。
> その前提があるから、他の方も「View Source できる/できない」という
> 話をしているのだと思いますけど。

HIDDEN タグが使い方次第では危険なものになるのは、
おっしゃるとおりですが、それは一般的なお話です。
今話題にしているのは、セッションですから、HIDDENで
情報交換するのは、セッションIDのみとかんがえる
べきではないでしょうか。
「ちょっと書き換えて」もなんとかなってはいけないのが、
セッションIDだと思います。

HIDDEN タグが使い方次第では危険なものになるということには
異論はありませんが、その使い方を議論したほうが、
より良い方向ではないかと思っています。

> システムを作成する側は、可能な限りそのような事が起きないように
> 注意して開発しなければならないのは当然の事ですし、セキュリティ面に
> 配慮するという事自身も「チャレンジ」だと私は考えますが、違う
> のでしょうか？

私は、後藤さんのご意見は、基本的には正しいと思っています。
正論だろうと思います。
ですから、「違う のでしょうか？」と問われると、
「全くそのとおりです。」となってしまいます。
ただ、正論だけではなんだかつまらないように感じています。
「なにがつまらないのか？」
は、勘弁してください。