[PHP-users 23887] Re: 別ページのアイフレーム内での動作について

[Y.Sawa]

Y.Sawaです。

引用長くなってすみません。

> >  私が今、頭に思い浮かべているのは
> >     main.example.com
> >           ↓  商品番号と枝番(サイズ,色など)、購入数を hidden で持っていく
> >     sub.example.com
> >                (商品番号,枝番が存在するかをチェックする)
> >                商品の確認、名前、住所等を入力する(ここは PHP では無くなりますが)
> > 
> >  という様な動きです。
> 
> そこに新たな悪役を登場させましょう。ユーザが実際に開き、セッションが有効
> な状態で悪役の用意した sagi.example.net を踏まされたとします。
> 
> sagi.example.net
> 　　　↓　勝手な注文内容を突っ込んでいき、発注処理まで一連動作で行う
> sub.example.com
> 　　　　　注文書の文法的には正しいものなので実際に発注処理
> 
> という事ができるから、cross doamin のframeやiframe間でセッション維持をし
> てはあかんのです。

これで何か問題がありますか？僕は問題がないと思います。
住所・名前等の情報を入力するのは誰でしょうか。おそらくユーザーになると思
います。

> sagi.example.net
> 　　　↓　勝手な注文内容を突っ込んでいき、発注処理まで一連動作で行う
> sub.example.com
> 　　　　　注文書の文法的には正しいものなので実際に発注処理

ここで、sagi.example.netが名前・住所を定数で保持しているもしくは、これの
後で名前・住所などの情報をユーザーに入力させるかどちらかでしょう？
であれば、フィッシングの危険性があるという指摘は確かにその通りなんですが、
実害を考えれば普通のショッピングカートとなんら変わらないと思います。

どうですか？

-- 
Yuta SAWA 
Email: sawa ＠ keel-inc.co.jp
Web Blog: http://d.hatena.ne.jp/succeed/