hamada
bungu****@leo*****
2004年 5月 13日 (木) 17:17:29 JST
こんにちわ。 On Thu, 13 May 2004 16:06:36 +0900 Katsunori IMAI <imai****@glatt*****> wrote: > 私が危惧するのは、田村さんが組み込んでくださった対策をもっ > て、「セッションハイジャック対策ができている」と考える > 人がいるのではないかということです。ですので、 要するに「セッションハイジャック対策」という言葉の問題、という理解でいい んでしょうか? 今回対策されたのはあくまでも 『(意図しない)セッションの重複』 についてだけであって、本来の意味での 『セッションハイジャック対策』 と呼ぶには少々問題が有る→今回の対策を以てそのまま 「我がサイトはセッションハイジャック対策済みである」 と判断することは望ましくない、というか『間違い』だと。 正直当方(←技術者でも何でもない単なる素人)は 「検索エンジン経由での意図しないセッション重複」 対策だとしか理解してませんでした。 「セッションハイジャック」という言葉はそれまで聞いたことがなく、 「セッション重複の別の呼び方なんだろう」 という程度の理解だったのですが、「ハイジャック」という言葉は「強奪」「盗 用」的なニュアンスで使われることのほうが多いかもしれませんね、確かに。 当方がちょっと気になってたのは、 「検索エンジンの検索結果」 ではなく 「検索エンジンのキャッシュ」 からジャンプして来られた場合 http://66.102.7.104/search?q=cache:〜url みたいなカタチのリファラーになる→url部分にサイトのurlを含むので session.referer_checkが効かなくなるんじゃないかなぁ?ということでした。 まぁ当方の管理するosCommerceでは <META NAME="ROBOTS" CONTENT="NOARCHIVE"> としてクローラーによるキャッシュを禁止してますんで取り敢えずこの心配はな いかと思うんですけど、そうでない方のサイトではsession.referer_checkでも ヤバい状況がありうるんじゃないかなぁとか漠然と考えてました。 はまだ