[PHP-users 14252] Re: Cookie 特許と PHP (session)
Osamu Shigematsu
php-users@php.gr.jp
2003年 3月 25日 (火) 04:12:11 JST
重松です。こんにちは。
> フレームが使えないと思います。
> また、すべてのリンクをPOSTにするわけにもいきませんし。
これまた個人的な、感覚的な、問題ですが、フレームを使ったデザイン、
アドレスの入力フィールドやボタンなどを隠したウインドウを開く
インタフェイスは、非常に気持ち悪くて、使う気がしないですし、
それ以前に、セキュリティという観点からしても、
問題があるといわざるを得ないと思います。
たとえば、フレームの場合、今表示しているのがどのサイトなのか、
URL を容易に確認することができないです。
アドレスを隠すのもの同じです。
> > cookie に比べて、セキュリティ的に甘くなると考えられる理由など
> > 教えていただけると、cookie のありがたさを理解できるのではと思います。
>
> とりあえずは、URI埋め込みだとrefererで漏れるというのがあります。
> cookieであれば、URI埋め込みに比べると外部に漏れる心配は少ないです。
> すくなくとも、標準の仕組みとしてcookieが外部に漏れることはないはずです。
確かに漏れますね。>referer
そう考えると cookie も session ID だけを保持するのに使うには、
安全といえるかもしれません。
すべてのシーンで POST を使うわけでもないですし。
> > 戻るためのボタンをつけて対処する方が理論的にスマートだと思いますが、
> > 現実問題としては、やっぱり、戻りたくなりますね。
>
> 戻るためのリンクは必須だと思いますが、一般ユーザーに「戻るボタンを使って
> はいけません」という情報をどうやって与えるのか、ということが無視できない
> 問題になると思います。
これは同意します。
そして、そのユーザに対する「もどるボタンを使ってはいけません」が
戻るボタンを隠すインタフェイスだと、最悪ですね。
--
Osamu Shigematsu <m5issige@mr.hitachi-medical.co.jp>
PHP-users メーリングリストの案内