08/04/17 22:57:36
phpで、携帯のサイトを作っているのですが、
セッション管理が必要なサイトで、
セッションIDの情報をURLに埋め込んでいます。
ただ、ユーザーの中にセッションIDが入ったURLをブックマークとして
公開する人がいて、セッションハイジャックが毎日行われています。
これって、仕様として客に説明しているのですが、
客が納得してくれず、携帯であるが故に技術的に不可能なことを説明しているのですが堂々巡りです。
こういう場合、どのような資料を提示して納得してもらえるのでしょうか?
宜しくお願いします。
237:236
08/04/17 22:58:55 8cCEOmJ0
すみません、下げていました。
238:nobodyさん
08/04/17 23:00:47
有効期間つければ?
239:nobodyさん
08/04/17 23:02:20
>>236
仕様って!!www
そんなサイトでセッションIDを生で埋め込むなよ
240:236
08/04/17 23:08:32 8cCEOmJ0
>>238
アドバイスありがとうございます。
有効期間はつけているのですが、
短いと、すぐにセッションが切れると苦情が来るし、
長いと、2chやブログでURLが貼られた場合に、セッションハイジャックが多発してしまします。
結局、有効期間ですと根本的には解決されないのではというのが結論です。
>>239
いや、携帯のサイトですから・・・
241:nobodyさん
08/04/17 23:13:21
>>240
IPの範囲みたりとかしたら?
あとauはクッキー使えるし
242:nobodyさん
08/04/18 00:07:02
IPアドレスや個体識別番号を持たせておけばいいだけじゃないの?
243:nobodyさん
08/04/18 00:09:22
URL埋め込みのSIDだけで何とかしようと思うほうがどうかしてる
244:nobodyさん
08/04/18 00:30:00
んむ クッキーがどうとか全く関係ないな
セッションハイジャックの対策をしていない事が問題なだけ
245:nobodyさん
08/04/18 00:33:53
「セッションハイジャックが毎日行われています。」
「fscanfがおかしいです。」も好きだけど、これも気に入った。
246:nobodyさん
08/04/18 00:40:53
無知なクライアントでよかったねぇ
うちの下請けが「これが仕様です」なんて言ってきたら二度と仕事回さないぞ
247:nobodyさん
08/04/18 00:52:58
>>240
> いや、携帯のサイトですから・・・
携帯サイトやからセッションIDを生で埋め込まへんねんて
248:nobodyさん
08/04/18 01:40:20
mixiとか大手はどうしてんだろ?
249:nobodyさん
08/04/18 01:46:33
uidじゃね?
250:nobodyさん
08/04/18 06:04:41
if (!isset($a))
$a = "hoge";
や
isset($a) ? $a : "hoge"
をもっと簡潔に(短く)書く方法はありますか?