[PHP-users 14245] Re: Cookie 特許と PHP (session)
naoki kishida
php-users@php.gr.jp
2003年 3月 25日 (火) 03:36:28 JST
きしだです
> > セッションを実現するのに、cookie使わないでURIにセッションIDを埋め込む方
> > がセキュリティー的には弱い気がするのですが。
>
> 別に URI に セッション ID を埋めなくても POST して渡すこともできますが。
フレームが使えないと思います。
また、すべてのリンクをPOSTにするわけにもいきませんし。
> cookie に比べて、セキュリティ的に甘くなると考えられる理由など
> 教えていただけると、cookie のありがたさを理解できるのではと思います。
とりあえずは、URI埋め込みだとrefererで漏れるというのがあります。
cookieであれば、URI埋め込みに比べると外部に漏れる心配は少ないです。
すくなくとも、標準の仕組みとしてcookieが外部に漏れることはないはずです。
> 戻るためのボタンをつけて対処する方が理論的にスマートだと思いますが、
> 現実問題としては、やっぱり、戻りたくなりますね。
戻るためのリンクは必須だと思いますが、一般ユーザーに「戻るボタンを使って
はいけません」という情報をどうやって与えるのか、ということが無視できない
問題になると思います。
----
岸田 哉生(きしだ なおき)
email:kishida@fk.urban.ne.jp
http://www.fk.urban.ne.jp/home/kishida/
PHP-users メーリングリストの案内