TAMURA Toshihiko
tamur****@bitsc*****
2004年 5月 7日 (金) 21:29:13 JST
今井さん、こんにちは。
田村です。
# 今井さんが書かれているのも、もっともだと思います。
# セッション問題にはいろんな意見やアイデアもあるでしょうし、
# osCommerceの実装も変わっていくのではないでしょうか。
セッションハイジャックにも、次の2種類があります。
a) BBSや検索サイトの検索結果に記録されたsidによって、
予期せずセッションハイジャックの状態になってしまっった。
b) 通信を盗聴されて、取得したsidでアクセスされた。
osCommerceで運営しているサイトは、
a)の対策をまずやるべきだと思いますが、
クッキーを受け付けない設定のユーザをサポートする必要もあって、
b)に関しては対策がむずかしいです。
個人的には、それに対しては次のような対策をとるのが
いいのではないかと考えています。
(対策1) すべてをSSLで運用する。
('HTTP_SERVER'/'HTTPS_SERVER'に'https://...'を指定する)
(対策2) [アカウント情報]/[レジに進む]などのSSLページに移行するときに、
ログイン後であっても毎回パスワードを入力させる。
(そのときにsidを付け替える)
サイトの性格や重要性によって、
こういった対策の導入を考えればいいのではないでしょうか。
--
田村敏彦 / 株式会社ビットスコープ
E-mail:tamur****@bitsc*****
http://www.bitscope.co.jp/