水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > セッションIDが視認できると問題がある?

セッションIDが視認できると問題がある?

2009年3月5日(木曜日)

セッションIDが視認できると問題がある?

公開: 2009年3月5日18時25分頃

【PHPで作る】初めての携帯サイト構築 第5回 携帯サイトでセッションを取り扱う (gihyo.jp)」という記事があるのですが、よく分からないところが。

セッションIDは視認できてしまうとセキュリティ上問題があるため,PCのWeb上では一般的にCookieを利用してセッションを管理しています。

これ、どういう問題があるのでしょうか。URLにセッションIDをつけるのが危険なのは「見えるから」ではなく「漏れるから」であって、自分のセッションIDが視認できてもそれ自体は特に問題ないように思うのですが……。

まあ、見えたIDを誰かに書き留められたりするとマズイでしょうけれど。ただ、パスワードと違って永続しない上に覚えにくい文字列だと思うので、自分で見えるというだけではそんなに大きな危険はないように思うのですよね。

※ちなみに、Cookieに格納されたセッションIDは、アドレスバーにjavascript:alert(document.cookie)と入れるだけで視認できます。

関連する話題: セキュリティ / Perl

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト