Kenji Okobira
okobi****@thecl*****
2007年 12月 11日 (火) 15:30:49 JST
お世話になっています。大河平です。 > >> 上記移植しても確かに消えました。 > > 全てを追いきった訳ではありませんが、単純にココを移植しただけでは正常動作 > しない可能性が高いと思われます。ちゃんとapplication_top.phpとかも確認さ > れてますでしょか? > > 両者のコード内容を理解したうえで再検討される事をお勧めします。 > > ちうか、$sidと$_sidとか、ちゃんと直してますよね?!(^^;; はい。その辺も修正して確認しました。 (まぁ、他のメンバーより指摘されたのですが(^−^; ) >> 今回、セッションハイジャックされるよりはそちらのほうがマシでると判断して今回の回収を行っています。 >> 個人情報が流れるよりも見れないよ!って文句を言われるほうがまだいいかと思いますので・・・ > > ? セッションが繋がらなくても見れますけど?? ただ「クリックする度に新 > しいセッションが始まる」だけ。 > > それに、セッションをハイジャック出来ても、実際に個人情報を見るのは、タイ > ミングとか結構難しいような。 > > セッションの有効期限(標準で24分…だったかな?)内限定だし、取ったセッ > ションの元持ち主が先にログインしてくれてないとダメ。そして、これで取れる > 情報は一人分だけ。 > > 検索エンジンにosCsid付でインデックスされてても、セッションの再生成が有効 > ならログイン時にsidは変わってる→そこまでに神経質に対策しなきゃいけない > もんなんでしょかねぇ? > > 勿論、「session.use_only_cookies有効のほうがセキュアだ」ということに異論 > を唱えるつもりは毛頭ありませんけど。 確かにそのとおりなんですねぇ・・・ たぶん、WebでECサイトを行うならば100%のセキュリティーは存在しないと思いますから。 まぁ、Webに入った瞬間100%のセキュリティーは存在しませんね(^−^; ともかく、目的とする動作が行えるようになりました。 ありがとうございました!
