[PHP-users 14006] Re: 携帯のブラウザでセッション設定について

[akiba]

秋葉です。

私が関心を持っている、セキュリティに関して、
話をさせてください。

> ショッピングサイトの場合、商品情報は全てhiddenで回せばいいと思います。
「全て」に何が含まれるかによって話が変わって
くるのではないでしょうか？

> 携帯電話からではソースは見れない訳ですし、
> 別に問題ないと思うのですが如何でしょうか？

「ソースは見れない」云々は、端末側の仕様に依存する
問題なので、出来ればサーバ側で安全を担保しておきたい
ところです。
端末側が仕様どおり動作するとはかぎりませんからね。

ところで、端末利用者が、自分で入力したり選択したりした
情報は、パスワードなどを除いて、再度端末利用者に見ら
れて困るようなものは、少ないのではないでしょうか。
自分で入力した情報を、書き換えたとしても、それでおかしく
なるとすれば、それはサーバ側の仕様に問題があるのでは
ないかと思います。
そのようなシステムでは、端末側でソースが見れなくとも問題
が発生するのではないでしょうか。
元々自分で入力した情報であれば、わざわざサーバから
再度送られた情報を書き換えなくとも、最初からその
「書き換えた情報」を送ればすむ話ですからね。
「ソースは見れない」話には、なにやら危険な匂いを感じます。

端末利用者に見られて困るような情報は、端末に送らないと
いう原則を守る限り、「ソースは見れない」云々はセキュリティ
上は関係なくなると思います。
この原則を守るためには、セッション管理は、良い
ソリューションだと思いますが、いかがでしょうか。

ソースを端末利用者に見られてもなんら困らないうえで、
なおかつ、「ソースは見れない」のでしたら、安心です。

第三者への情報漏洩は別問題で、こちらは、
「ソースは見れない」とは関係なく、別途考慮する
必要があります。
端末利用者には見えなくても、回線をウォッチした
第三者に筒抜けでは・・・ね。
尚、セキュリティ上問題なくても、見栄えや効率の
点では、別途考慮が必要でしょう。