[PHP-users 33992] Re: クッキーを受け付けないUserAgent（日本のケータイに限らず）に対してもセッション管理しつつセッションハイジャックを防ぎたい

[katsu2000x ＠ gmail.com]

さいとうです。

高木氏のおっしゃっている事は
・そもそもキャリアが公表している（と思われる）情報は正確なのか？
・もしDNSポイゾニングとかされちゃっていたらどうするの？

といったことからIPアドレスは信用できるのか？　ということですが、個人的にはそこまで心配するならサイト立てる事自体止めた方が良いんじゃないかと考えます。
（おっしゃっている事は分かるんですけどね）

私も、IPアドレスと端末IDでのチェックで十分じゃないかと思います。
少なくともUserAgentだけでチェックするよりはマシだと思いますが。

＃IPアドレスでのアクセス制限をすると、クローラも弾いてしまうのでその対応も必要ですけどね

08/08/19 に Tomoyuki Asakawa<tom ＠ asakawa.ne.jp> さんは書きました:
> なので、IPアドレスと、端末IDの組み合わせは、十
> 分、セキュリティ上の問題は担保されると思います。