[PHP-users 23890] Re: 別ページのアイフレーム内での動作について

Ryosuke Hosoi hosoi @ ryo.com
2004年 12月 12日 (日) 18:08:47 JST


ほそいです

From: SHIRAFU Makoto <escvel @ terra.dti.ne.jp>
Subject: [PHP-users 23881] Re: 別ページのアイフレーム内での動作について
Date: Sun, 12 Dec 2004 12:31:16 +0900
Message-ID: <20041212121704.6034.ESCVEL @ terra.dti.ne.jp>

>  お客さんが気付かない場所で、セキュリティ的に脆弱な処理が行わ
> れていることが一番の問題だと思います。
> 
>  セッションの情報をhiddenで送信するとして、第三者がその情報を
> snifferしていた場合・・・
>  お客さんが知らないところで、悪意を持ったデータの送信を行うこ
> とは可能ですよね?

少し変に思えます
ここで言うセッションはクッキーで管理されるセッションのことですよね?
snifferのことを考えると、GET/POST/COOKIEに関わらずhttpsでない限り
可能ですから、(GETにせよPOSTにせよ)「hiddenで渡す」ということに
対してだけsnifferの可能性を考えるというのは変だと。

さすがにGETだと
・ブラウザの履歴にも残る
・proxyのログにも残る
・下手したらリファラーから漏れる
のでダメだとは思いますが、hiddenはダメというのは違うかと。

-- 
 Ryosuke Hosoi / 細井 良祐
 mailto:hosoi @ ryo.com http://www.ryo.com/
 PGP Public Key http://www.ryo.com/ryo/hosoi.ryo.com.asc
 fingerprint = 4F39 61B0 2034 3A5C DFE8  FBCB 7B99 90CF EBE1 A3F3


PHP-users メーリングリストの案内