アカウント名:
パスワード:
GETパラメータだけで認証&認可するとか、素人かな?工数不足かな?手抜きかな?
メールからログインなしですぐにリンククリック後に状況を見たいなら、こうするしかない。(ヨドバシのメールもそうね、一応個人情報は隠してあるけど)。利便性の問題でもある。
サーバ側でGETリクエストを受け取ったら、情報をセッションに保持してから、GETパラメータを持たないURLにリダイレクトすれば、現状のURL仕様のままでも「Web解析、ソーシャルメディアアイコンといった外部のリソース」にGETパラメータを知らせないようにはできますね。
まあ、クッキーが使えない/使わないブラウザで見れなくなるけど、今時そこまで気にする必要はなさそう。
セッションIDに変換してGET、ないしはPOSTで遷移すれば良いのでは。IPアドレス変動環境(スマホ等)であればクッキーか不便のどちらかを受け入れてもらうしかないかな。
…そもそもどの程度保護してればOKなんだろ。埋め込んだスクリプトからなら大概のことできちゃうわけで……結局トラッキング可能な外部リソースは最初から設置せず全排除が最適解かな。
jsもcookieもオフにしてトラッキングブロックしてると生きづらい環境がこうしてできあがっていく…中にはgoogle analyticsのトラッキングjsが動かないとページ全体が死ぬサイトまであるつらい
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
手抜きすぎでしょ (スコア:0)
GETパラメータだけで認証&認可するとか、素人かな?工数不足かな?手抜きかな?
Re: (スコア:1)
メールからログインなしですぐにリンククリック後に状況を見たいなら、こうするしかない。(ヨドバシのメールもそうね、一応個人情報は隠してあるけど)。
利便性の問題でもある。
Re:手抜きすぎでしょ (スコア:2)
サーバ側でGETリクエストを受け取ったら、情報をセッションに保持してから、GETパラメータを持たないURLにリダイレクトすれば、
現状のURL仕様のままでも「Web解析、ソーシャルメディアアイコンといった外部のリソース」にGETパラメータを知らせないようにはできますね。
まあ、クッキーが使えない/使わないブラウザで見れなくなるけど、今時そこまで気にする必要はなさそう。
Re: (スコア:0)
セッションIDに変換してGET、ないしはPOSTで遷移すれば良いのでは。
IPアドレス変動環境(スマホ等)であればクッキーか不便のどちらかを受け入れてもらうしかないかな。
…そもそもどの程度保護してればOKなんだろ。
埋め込んだスクリプトからなら大概のことできちゃうわけで……
結局トラッキング可能な外部リソースは最初から設置せず全排除が最適解かな。
Re: (スコア:0)
jsもcookieもオフにしてトラッキングブロックしてると生きづらい環境がこうしてできあがっていく…
中にはgoogle analyticsのトラッキングjsが動かないとページ全体が死ぬサイトまである
つらい