[PHP-users 23890] Re: 別ページのアイフレーム内での動作について

[Ryosuke Hosoi]

ほそいです

From: SHIRAFU Makoto <escvel ＠ terra.dti.ne.jp>
Subject: [PHP-users 23881] Re: 別ページのアイフレーム内での動作について
Date: Sun, 12 Dec 2004 12:31:16 +0900
Message-ID: <20041212121704.6034.ESCVEL ＠ terra.dti.ne.jp>

> 　お客さんが気付かない場所で、セキュリティ的に脆弱な処理が行わ
> れていることが一番の問題だと思います。
> 
> 　セッションの情報をhiddenで送信するとして、第三者がその情報を
> snifferしていた場合・・・
> 　お客さんが知らないところで、悪意を持ったデータの送信を行うこ
> とは可能ですよね?

少し変に思えます
ここで言うセッションはクッキーで管理されるセッションのことですよね？
snifferのことを考えると、GET/POST/COOKIEに関わらずhttpsでない限り
可能ですから、(GETにせよPOSTにせよ)「hiddenで渡す」ということに
対してだけsnifferの可能性を考えるというのは変だと。

さすがにGETだと
・ブラウザの履歴にも残る
・proxyのログにも残る
・下手したらリファラーから漏れる
のでダメだとは思いますが、hiddenはダメというのは違うかと。

-- 
 Ryosuke Hosoi / 細井 良祐
 mailto:hosoi ＠ ryo.com http://www.ryo.com/
 PGP Public Key http://www.ryo.com/ryo/hosoi.ryo.com.asc
 fingerprint = 4F39 61B0 2034 3A5C DFE8  FBCB 7B99 90CF EBE1 A3F3