WEB相談室

Webページ作成に関しての何でも掲示板です。

タイトル:クッキーのセッションIDについて

0:[投稿] たくちゃん [2006/03/03 19:11 ] [環境:IE6 わからない]

はじめてサイトを作っているのですが、今、IDとパスワードでクライアントを確認し、クッキーでセッションIDを書き込むプログラムを作ろうと思っていることろです。

そこでお聞きしたいことがあります。私のサイトではID・パスワード登録時にニックネームも登録することになっています。ですので、セッションIDはそのニックネームでいいんじゃないかと思っているのですが、別にそれで問題は起きないのでしょうか?

というのは、どっかのサイトで、クライアント側でクッキーに書き込みや改変ができないとあったのでニックネームでOKなのかな?と思う反面、セッションIDジャックとかいったことを耳にすることがありますので、もしかしたら知識のある人ならクッキーに書き込みが出来るのかな?とも思い、お聞きしました。

どうなんでしょう?よろしく

それと、セッションIDの作り方で参考になるようなサイトがありましたら教えて頂けますでしょうか?よろしく


1:[回答] jam [2006/03/06 09:37 ]

Cookieの操作ならjavascriptとか知ってる人ならほとんど誰でもできるんじゃないですかね・・・
ブラウザのアドレスバーの部分に以下みたいにしてやればいいわけですし・・・
javascript:document.cookie="test=hoge";

なので、ニックネームをセッションIDとした場合、適当に
ニックネームにありそうな文字を自分でcookieにセットしてやれば
簡単にその人になりすませちゃいますよね、だからダメです。

参考サイト
http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.html


2:[完了] たくちゃん [2006/03/07 06:17 ]

アドレスバーからクッキーに書き込めるんですね。
今自分のサイトで試して書き込まれていました。
怖っ・・・・・・
参考サイトは今後ものすごく参考になると思います。
jamさん、有難うございました。

回答(必須): 状態:

お名前(必須):

URL:




[戻る]