01/06/25 00:25
そう、一意性の問題。普通はシーケンシャルに採番して一意性を
維持したままシャッフルすると思われる。ちょっと揚げ足を取っ
てみただけ。
現行のステートマネージメントメカニズムは、どの方法も SSL と
組み合わせないとセキュリティ的に問題ありだね。というか
そんなの Web の常識だったはずなのに、なぜ突然ひろみちゅが
騒ぎ始めたのか分からんよ。
URL Rewrite/HIDDEN フィールド
ソースを見れば一目瞭然。URL 欄にも表示される。ジャンプ先
サイトでは Referer ヘッダで参照可能 (ブラウザの種類と
バージョンにもよる)。自サイトを SSL 化しても Referer
ヘッダは漏れてしまうかも (なりすまし接続は無理だろうが)。
Cookie
丸見えでない分 URL Rewrite/HIDDEN フィールドよりまし
だが平文であることには変わりない。プロキシサーバなら
余裕で盗める。期限付きのはファイルで残る。
# 昔、クライアント側の IP アドレスを使ってセッション ID
# にハッシュかければセキュリティもバッチリでは? と発明
# しかけたが、程なくプロキシの存在を忘れているのに気づ
# いた。