[PHP-users 14245] Re: Cookie 特許と PHP (session)

[naoki kishida]

きしだです

> > セッションを実現するのに、cookie使わないでURIにセッションIDを埋め込む方
> > がセキュリティー的には弱い気がするのですが。
> 
> 別に URI に セッション ID を埋めなくても POST して渡すこともできますが。

フレームが使えないと思います。
また、すべてのリンクをPOSTにするわけにもいきませんし。

> cookie に比べて、セキュリティ的に甘くなると考えられる理由など
> 教えていただけると、cookie のありがたさを理解できるのではと思います。

とりあえずは、URI埋め込みだとrefererで漏れるというのがあります。
cookieであれば、URI埋め込みに比べると外部に漏れる心配は少ないです。
すくなくとも、標準の仕組みとしてcookieが外部に漏れることはないはずです。

> 戻るためのボタンをつけて対処する方が理論的にスマートだと思いますが、
> 現実問題としては、やっぱり、戻りたくなりますね。

戻るためのリンクは必須だと思いますが、一般ユーザーに「戻るボタンを使って
はいけません」という情報をどうやって与えるのか、ということが無視できない
問題になると思います。

----
岸田 哉生(きしだ なおき)
	email:kishida@fk.urban.ne.jp
	http://www.fk.urban.ne.jp/home/kishida/