セッションIDが視認できると問題がある?
2009年3月5日(木曜日)
セッションIDが視認できると問題がある?
公開: 2009年3月5日18時25分頃
「【PHPで作る】初めての携帯サイト構築 第5回 携帯サイトでセッションを取り扱う (gihyo.jp)」という記事があるのですが、よく分からないところが。
セッションIDは視認できてしまうとセキュリティ上問題があるため,PCのWeb上では一般的にCookieを利用してセッションを管理しています。
これ、どういう問題があるのでしょうか。URLにセッションIDをつけるのが危険なのは「見えるから」ではなく「漏れるから」であって、自分のセッションIDが視認できてもそれ自体は特に問題ないように思うのですが……。
まあ、見えたIDを誰かに書き留められたりするとマズイでしょうけれど。ただ、パスワードと違って永続しない上に覚えにくい文字列だと思うので、自分で見えるというだけではそんなに大きな危険はないように思うのですよね。
※ちなみに、Cookieに格納されたセッションIDは、アドレスバーにjavascript:alert(document.cookie)と入れるだけで視認できます。
- 「セッションIDが視認できると問題がある?」にコメントを書く
- 前(古い): DBIx::Class::ResultSetのsearch_literalをSQLインジェクションで突破
- 次(新しい): ささら さや
