セッションID付きURLが Bot にインデックスされる等で、セッションID漏えい問題に対応したい - 基本へ帰ろうwhat 携帯サイトで、セッションID付きURLを利用して、セッションIDを引き回すと、セッションIDが漏えいするケースが多いため、セッションハイジャックにつながりやすいので、なるべくセッションIDを漏えいしにくい作りにしたい。 ちょっとググればたくさんこの話題は出てくるが、自分なりにまとめる。 結論 セッション付きURLを利用している限り、セッションIDの漏えいの可能性を0にすることは難しい。ただしセッションIDの漏えいとセッションハイジャックの可能性を下げることは可能なので、可能性を下げる努力をする。 一番良いのは、「ログインごとに新しいセッションIDを発行する」だと思う。 ただし、携帯サイトとPCサイトで同じセッションを利用している場合、PC側で「次回から入力を省略する」ということができなくなる。諸刃の剣ですなぁ・・・。 セッションIDが漏えいするケース セッションID付きURLをG
