[PHP-users 14252] Re: Cookie 特許と PHP (session)

Osamu Shigematsu php-users@php.gr.jp
2003年 3月 25日 (火) 04:12:11 JST


重松です。こんにちは。

> フレームが使えないと思います。
> また、すべてのリンクをPOSTにするわけにもいきませんし。

これまた個人的な、感覚的な、問題ですが、フレームを使ったデザイン、
アドレスの入力フィールドやボタンなどを隠したウインドウを開く
インタフェイスは、非常に気持ち悪くて、使う気がしないですし、
それ以前に、セキュリティという観点からしても、
問題があるといわざるを得ないと思います。

たとえば、フレームの場合、今表示しているのがどのサイトなのか、
URL を容易に確認することができないです。
アドレスを隠すのもの同じです。

> > cookie に比べて、セキュリティ的に甘くなると考えられる理由など
> > 教えていただけると、cookie のありがたさを理解できるのではと思います。
> 
> とりあえずは、URI埋め込みだとrefererで漏れるというのがあります。
> cookieであれば、URI埋め込みに比べると外部に漏れる心配は少ないです。
> すくなくとも、標準の仕組みとしてcookieが外部に漏れることはないはずです。

確かに漏れますね。>referer

そう考えると cookie も session ID だけを保持するのに使うには、
安全といえるかもしれません。

すべてのシーンで POST を使うわけでもないですし。

> > 戻るためのボタンをつけて対処する方が理論的にスマートだと思いますが、
> > 現実問題としては、やっぱり、戻りたくなりますね。
> 
> 戻るためのリンクは必須だと思いますが、一般ユーザーに「戻るボタンを使って
> はいけません」という情報をどうやって与えるのか、ということが無視できない
> 問題になると思います。

これは同意します。

そして、そのユーザに対する「もどるボタンを使ってはいけません」が
戻るボタンを隠すインタフェイスだと、最悪ですね。

-- 
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>





PHP-users メーリングリストの案内