moon-****@nag*****
moon-****@nag*****
2006年 5月 5日 (金) 20:33:26 JST
曽我部さま hiddenを使用するのは一般的であるとは思いますが セキュリティの観点から、 商用サイト(でなくても個人情報を取り扱うサイト)では 私はあまり使わない方が良いかと思います。 XSSでしたら、プログラムに対処をした処置をしておけば良いと思いますので システム的な打撃は受けないとしても ソースを見られれば、どのような内容がhiddenでPOST及びGETしてあるのかが 分かってしまいます。 それを元にどのようなユーザ攻撃(どのようなものかは専門家ではないのでわかりませんが)を 受けて、ユーザの利益の損害になるか分からないので 私は普段はhiddenは使わないようにしています。 今回の暗号化というのは お客様の情報を暗号化してスクリプトに渡そうと言うものですので 出来るだけお客様が被害を被るようなシステム作りにはしたくないと思いまして 質問したと言う経緯でございます。 私が、そこまでこちらの内容をお伝えしていなかったのがいけなかったのですが よろしければ、何か良い案がおありでしたら お知恵を拝借できれば非常に幸せです^^ 曽我部さまの貴重な時間を割いて頂くのは申し訳ないので 無理は申しませんので、気が向かれましたらよろしくお願いいたします。 -------------------------------------------------------------------------------- > 曽我部です。 > > moon-****@nag***** wrote: >> セッションですか? >> セッションで暗号化→複合化のようなことができるのですか!? > > セッションでは暗号化はできません。 > > ページからページに文字列を渡すのにhiddenを使用していて、その文字列を見られたくなくて > 暗号化が必要であるなら、セッション渡しにすれば暗号化する必要はないと思います。 > > > そうでなければ、セッションは関係ないですね。 > > -- > sogab****@alles***** > > _______________________________________________ > Tep-j-general mailing list > Tep-j****@lists***** > http://lists.sourceforge.jp/mailman/listinfo/tep-j-general > > -------------- next part -------------- HTMLの添付ファイルを保管しました... ダウンロード