[PHP-users 21638]Re: セッションの受け渡しについて

NAKAMURA Takeshi 1yen @ sh.rim.or.jp
2004年 5月 12日 (水) 15:04:33 JST


仲村です

On Wed, 12 May 2004 14:37:34 +0900,
 "Takao Tominaga" <tominaga @ cyclops.co.jp> wrote:

> 今、作っているのはショッピングサイトなんです。
> httpのほうで持っているセッションの値は商品の情報で、
> 個人情報は持たさないようにしています。

 何を買っているか分かるだけで、ダイレクトメールを送る人を
絞れるので、個人情報じゃないというのは難しいでしょう。
# 常時接続が多くてIPが半固定ですから、掲示板などから
# メールアドレスとか分かるかもしれないし...

 1. 購入者が商品を選ぶ。
 2. 私が http 通信中にセッションID を盗聴して暫く待つ。
 3. 購入者が https で住所などを入力。
 4. 私が、https 通信が何度か発生したのを見て
    盗聴したセッションIDを使って https に繋ぎ
    住所の確認などのページから住所/名前を入手。

 とかでしょうか。
# https に入ったらダミーページをかませてセッションIDを変更
# (セッション変数を待避させた上で 旧セッションID はダミーデータなどで上書き削除)
# とすれば大丈夫?
----+----1----+----2----+----3----+----4----+----5----+----6----+----7----+
 関西沖縄青年の集い がじまるの会 手伝い 一人だけの勝手に神奈川支部
 仲村 武 <1yen @ sh.rim.or.jp>



PHP-users メーリングリストの案内