-OASIS- - 今日のメモ「携帯におけるセッションとセキュリティ(PHP)」ログイン機能を持つモバイルサイトではセッションが必要不可欠になるが、そのセキュリティ問題についての備忘録。 以下、問題に関しての参考サイト。 ke-tai.org - PHPで携帯からセッションを使う場合の設定方法 maru.cc@はてな - auのSSLでcookieの挙動がおかしい maru.cc@はてな - au、SoftBankでSSLでCookieセッションを使用する場合の問題点 [DoCoMo] DoCoMoの端末はCookieが使えないので、セッションを使うには必然的にApacheのsession.use_trans_sidを使う事になる(URLの中にセッションIDを埋め込む方式)。 この時問題になるのは2点。 まずURLの流出によるセッションハイジャック。携帯はPCに比べ、この問題が表面化しやすい。これは、友達にサイトを教えようと今見ているページのURLをそのままメールで送
