[PHP-users 23892] Re: 別ページのアイフレーム内での動作について

[SHIRAFU Makoto]

こんにちは、しらふです。

Sun, 12 Dec 2004 01:08:47 -0800 (PST)に
Ryosuke Hosoi <hosoi ＠ ryo.com> さんから頂いた、
"[PHP-users 23890] Re: 別ページのアイフレーム内での動作について"へのお返事です。

> ここで言うセッションはクッキーで管理されるセッションのことですよね？
> snifferのことを考えると、GET/POST/COOKIEに関わらずhttpsでない限り
> 可能ですから、(GETにせよPOSTにせよ)「hiddenで渡す」ということに
> 対してだけsnifferの可能性を考えるというのは変だと。
　そうですね。
　私の中での「セッション」の定義とは、[PHP-users 23871]で仲村さ
んが、
> ホストを移るときに セッション の全ての内容を hidden で引き渡せば
と仰っていたので、「セッション変数の管理下にあるデータすべて」と
いう風に捉えていました。
　それで、「そのようなデータ全てをhiddenでユーザに見えない所で転
送するのは危険なのでは?」との意図で、[PHP-users 23881]を書きまし
た。

　この時点で、hiddenで転送する際に「暗号化されている」という定
義がなかったので、前文の状態(ユーザが関知しない所)で、「平文状
態のデータが転送行われると、最悪の場合、第三者が何度でもそのデー
タを送れてしまうのでは?」というのが主旨です。

　これは、[PHP-users 23871]を最初読んだときに、「hiddenを使った
リダイレクト」というイメージで受け取った/読み取ったので、その仕
組みがわかれば、偽装は容易なのでは?という疑問から始まっています。


+--------------------------------------------------------------------+
| From         : SHIRAFU Makoto                                      |
| E-mail       : escvel ＠ terra.dti.ne.jp                              |
| Web Site     : http://www.terra.dti.ne.jp/~escvel/                 |
| Fingerprint  : D336 5CE0 6D5E 106A 47BF 5FB7 739B B0FE 240B EEB7   |
+--------------------------------------------------------------------+