パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Webサイトにも安全マークを」記事へのコメント

  • クライアント側のjavascriptは使わずにどうにかするとしても、セッション管理をクッキー使わずに実装しているECサイトってあるの?
    • セッション管理云々に関しては、

      欧州議会がcookie禁止法案を来週採決 [srad.jp]
      のコメントで色々議論されてます。

      最近、Cookieへの風当たりが強くて、Web系技術者としては頭の痛い限りで
      • しかし、hiddenって htmlコンテンツに埋め込まれる
        情報なので、ローカルに保存して改変し、それを
        ブラウザで読み込んで処理を継続する事でなんらかの
        行為も可能ですよね。

        それを防止するためには HTTP_REFERER を参照し
        サーバから正しく送り出されたコンテンツに
        基づいているか確認するという手はありますが
        HTTP_REFERER は必ず得られるものと
        • hiddenに埋め込んだセッションIDが漏れなければよいのでは?

          漏れる漏れないの話と、ローカルで改竄される話は、別です。

          • HIDDENに埋め込んだセッションIDは、FORMで渡さないと いけないんですよね。
            でも、それだと全部SUBMITボタンでページを移動しないといけなくなっちゃう気がするんですが。

            PHPとかでセッション管理をすると、FORMなしでセッションIDが渡せるcookieは便利です。
            いちいちSUBMITボタンによる遷移をしなくても、ただ表示するだけのページでもセッション確認できますから。
            なりすましや漏洩が心配なら「セッションの切断」のページを用意して、そこでcookieを消すとかすればいいんじゃないでしょうか。
            もちろん、セッションcookieの有効期限は過去の時間にしてブラウザが終了した時点で消えるように。

            cookieに代わるセッション管理の手法があれば(もちろんJavaScriptを除く)R-MSもいいと思いますが、今のところ思いつきません。
            原文を書いた人は、代替案も書いてくれるともっと説得力があって支持してくれる、採用してくれる人も多かったと思います。

            親コメント

アレゲはアレゲを呼ぶ -- ある傍観者

処理中...