[PHP-users 21638]Re: セッションの受け渡しについて
NAKAMURA Takeshi
1yen @ sh.rim.or.jp
2004年 5月 12日 (水) 15:04:33 JST
仲村です
On Wed, 12 May 2004 14:37:34 +0900,
"Takao Tominaga" <tominaga @ cyclops.co.jp> wrote:
> 今、作っているのはショッピングサイトなんです。
> httpのほうで持っているセッションの値は商品の情報で、
> 個人情報は持たさないようにしています。
何を買っているか分かるだけで、ダイレクトメールを送る人を
絞れるので、個人情報じゃないというのは難しいでしょう。
# 常時接続が多くてIPが半固定ですから、掲示板などから
# メールアドレスとか分かるかもしれないし...
1. 購入者が商品を選ぶ。
2. 私が http 通信中にセッションID を盗聴して暫く待つ。
3. 購入者が https で住所などを入力。
4. 私が、https 通信が何度か発生したのを見て
盗聴したセッションIDを使って https に繋ぎ
住所の確認などのページから住所/名前を入手。
とかでしょうか。
# https に入ったらダミーページをかませてセッションIDを変更
# (セッション変数を待避させた上で 旧セッションID はダミーデータなどで上書き削除)
# とすれば大丈夫?
----+----1----+----2----+----3----+----4----+----5----+----6----+----7----+
関西沖縄青年の集い がじまるの会 手伝い 一人だけの勝手に神奈川支部
仲村 武 <1yen @ sh.rim.or.jp>
PHP-users メーリングリストの案内