[PHP-users 30328] Re: HTTP_REFERER の挙動と携帯のセッションの安全性について
聖歩美
hijiri.walk @ gmail.com
2006年 9月 16日 (土) 03:18:29 JST
聖と申します。
中村さん、こんにちは。
PHPとは関係ないかもしれませんが…
> どうやら携帯からのアクセスのみにある現象らしいです。
端末側の不具合としては、この URL のような事例のことでしょうか。
http://www.au.kddi.com/news/topics/au_topics_index20051209.html
ちょっと自信ありませんが、
個人特定可能な情報を含むクエリをできるだけ POST メソッドで送るようにし、
HTTP_REFERER に載せないことで防ぐことができるのではないかと
思われます。
聖
06/09/16 に 中村修治<juicydokidoki @ yahoo.co.jp> さんは書きました:
> はじめまして中村と申します。
> 初めて投稿させていただきます。
>
> 自分のサイトのアクセス解析に、どう考えても自分のURLが貼られるサイトでないところからのアクセスがリン
> ク元として残っていることがあります。
> どうやら携帯からのアクセスのみにある現象らしいです。
> 例をあげると、電車の乗り換え検索サイトの検索結果URLからのアクセスがありました。
> クエリストリングに出発駅や目的駅、時間などがしっかりあり、その方が何時にどこからどこに移動しようと検
> 索したのかわかってしまいました。
>
> 今まで実際に確認したのはauとvodaのみです。
>
> このようなことって経験ありますか?
> 別の例では明らかに僕の友人のアクセスだったので、「URLが漏れる可能性があるから気をつけて」といってお
> きました。おそらくみてるページからお気に入りか何かで僕のサイトにアクセスした際にHTTP_REFERERとして現
> 在のサイトが残ってしまったのでしょうか?
>
>
> そして「?PHPSESSID=xxxxx」でセッションを持ちまわしてる会員情報を管理してるサイトなどはこのような現象
> にどのような対策をとっておりますでしょうか?
> ページを移動するたびに個体番号を出させるしかないのでしょうか?
>
> 趣味でphpのプログラムは数年前からしていましたが、最近職業になったばかりでシステムを作るにあたって不
> 安になってます。
>
> よろしくお願いいたします。
PHP-users メーリングリストの案内