[PHP-users 30331] Re: HTTP_REFERER の挙動と携帯のセッションの安全性について

[中村修治]

>>聖様
> 端末側の不具合としては、この URL のような事例のことでしょうか。
> http://www.au.kddi.com/news/topics/au_topics_index20051209.html

この現象です！
auはEZwebブラウザのソフト不具合として対処してるみたいですね。
POSTで送るようにしていても、会員ページ内を行き来してるときにお気に入りから他のページに行かれたらこっ
ちはどうしようもないですよね。
auのほとんどの機種はクッキーでセッションを渡してると思うのでまず大丈夫かと思うのですが…。
このブラウザの不具合をユーザーにあまり知られてないのはちょっと問題かと思いますね…。

>>おく＠Workgroup様
>以前かかわった案件では、洩れたセッションIDのリストを作って、
>同じIDが生成されないようにしていました。

ユーザーがお気に入りから他のページに移動した情報を獲得する事って可能なのですか？
もうちょっと勉強して調べてみます。

>また、生成後、一定の時間がたったら、再生成するのは、
>セキュアなことを重視するサイトでは、定石かと思います。

なるほど。ログインしてからの有効時間をちょっと短めにすれば漏洩してもアクセスされる可能性は低いですね
。
ブラウザのUAもとっておいてページごとに認証すればさらに安全でしょうか。


まだまだ未熟ながらも意外と大きな案件を任されていて結構あせってます＾＾；
これからさらにプログラマを雇う予定ですし、色々検討してみます。
ありがとうございました。