[Tep-j-general] Re: セッションハイジャック対策

アーカイブの一覧に戻る

TAMURA Toshihiko tamur****@bitsc*****
2004年 4月 27日 (火) 13:09:33 JST


こんにちは、田村です。

チャイナウェブさん:
> これを適用しない場合、具体的にどんなことになるのでしょうか?
> それでお客さんのアカウントに不正アクセスし、個人情報と注文履歴も見えてしまう
> のでしょうか?

2人が同じセッションID付きのURLでショップに続けてアクセスして、
最初の人がログインしていたとすると、
ショップのトップページに次のようなメッセージが表示されます。
「いらっしゃいませ、山本 太郎 さん。 新着商品 をご覧になりますか?」
それから、ショッピングカートの中身も見えます。
[アカウント情報]のページに移動すると、
個人情報と注文履歴を見ることができます。


MSNの検索結果からのアクセス例は、こちらの方がよかったですね。
----------------------------------------
"GET /catalog/product_info.php?products_id=999&osCsid=xxxxx HTTP/1.1"
200 67218 "http://search.msn.co.jp/spresults.aspx?q=xxxxx&FORM=IE4"
"Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)"
----------------------------------------
問題になるのは、商品詳細ページが検索エンジンの検索結果に表示された場合が
ほとんどでしょうから、検索エンジン対策がうまくできているサイトほど、
危険なように思えます。

-- 
田村敏彦 / 株式会社ビットスコープ
E-mail:tamur****@bitsc*****
http://www.bitscope.co.jp/





Tep-j-general メーリングリストの案内
アーカイブの一覧に戻る