[Tep-j-general] Re: セッションハイジャック対策

Back to archive index

hamada bungu****@leo*****
2004年 5月 13日 (木) 17:17:29 JST


こんにちわ。

On Thu, 13 May 2004 16:06:36 +0900
Katsunori IMAI <imai****@glatt*****> wrote:

> 私が危惧するのは、田村さんが組み込んでくださった対策をもっ
> て、「セッションハイジャック対策ができている」と考える
> 人がいるのではないかということです。ですので、

要するに「セッションハイジャック対策」という言葉の問題、という理解でいい
んでしょうか?

今回対策されたのはあくまでも

『(意図しない)セッションの重複』

についてだけであって、本来の意味での

『セッションハイジャック対策』

と呼ぶには少々問題が有る→今回の対策を以てそのまま

「我がサイトはセッションハイジャック対策済みである」

と判断することは望ましくない、というか『間違い』だと。

正直当方(←技術者でも何でもない単なる素人)は

「検索エンジン経由での意図しないセッション重複」

対策だとしか理解してませんでした。

「セッションハイジャック」という言葉はそれまで聞いたことがなく、

「セッション重複の別の呼び方なんだろう」

という程度の理解だったのですが、「ハイジャック」という言葉は「強奪」「盗
用」的なニュアンスで使われることのほうが多いかもしれませんね、確かに。

当方がちょっと気になってたのは、

「検索エンジンの検索結果」

ではなく

「検索エンジンのキャッシュ」

からジャンプして来られた場合

http://66.102.7.104/search?q=cache:〜url

みたいなカタチのリファラーになる→url部分にサイトのurlを含むので
session.referer_checkが効かなくなるんじゃないかなぁ?ということでした。

まぁ当方の管理するosCommerceでは

<META NAME="ROBOTS" CONTENT="NOARCHIVE">

としてクローラーによるキャッシュを禁止してますんで取り敢えずこの心配はな
いかと思うんですけど、そうでない方のサイトではsession.referer_checkでも
ヤバい状況がありうるんじゃないかなぁとか漠然と考えてました。

はまだ






Tep-j-general メーリングリストの案内
Back to archive index