クッキーなしでもセッション管理ができる?

VB6,VBA,VBS,EXCEL,DOS,BAT,WSH,WORDの小技メモ

HTML/ CSS/ CGI-Perl/ JavaScript/ JavaApplet/ AccessUp/ Internet/ EnglishLearn/ ちゃいちゃん天使/ 天使メッセージ/ 飯田ワールド/ 結城ワールド/ プロフィール/ WEB相談室/ WEBアンテナ/ 燈明日記/ Perlノート/ 漢字起源/ yahoo

はじめに

本ページは、ウインドウズ系全般のティプスメモです。

そう、はじめはVB系のティプスメモだったのですが…いつの間にか、ウインドウズ系全般のティプスメモになってしまいました。

ちなみに、ティプス(Tips)とは、マニュアルに書かれていない技法や裏わざのことですが、本ページでは、私が経験してこれはと思ったノウハウのメモになっています。

尚、以下は本サイトの最新情報(ブログ)です。

それでは、本ページが何かのお役に立てれば幸いです。ごゆっくりご覧ください。

2010-05-25 クッキーなしでもセッション管理ができる?

昨日の記事で、『httpはステートレスなので、httpを使っている以上、セッション管理はクッキーが必須』と書きましたが、厳密には間違いでした。


Javaのセッションオブジェクトではメモリ、PerlのCGI::Sessionモジュールでは、ファイルやDBにセッション情報を保持し、セッションIDをhiddenパラメータやURLパラメータで引き渡し、セッション情報にセッションIDを問い合わせることでセッション管理をすることができますね。

ですので、クッキーは必要ありません。


しかし、hiddenパラメータやURLパラメータは、htmlのソースがブラウザで丸見えなので簡単に改ざんされるケースが否定できないです。

やはり、セッションIDは、安易に改ざんできないクッキーで渡すのが一番なんですかね。

また、httpsの場合は、クッキーにsecure属性を指定すれば、ほぼ完璧に安全ですね。


ということで、以下はセッションID引き渡しの安全順です。

  1. クッキーにsecure属性つけてセッションIDを引き渡す。
  2. クッキーでセッションIDを引き渡す。
  3. hiddenパラメータでセッションIDを引き渡す。(セッションIDが改ざんされ易い)
  4. URLパラメータでセッションIDを引き渡す。(ブラウザのアドレス欄にセッションIDが表示される)

おわりに

以下のページには、すべてのTIPSがあります。もしよろしければ、どうぞ!

尚、ご感想、ご意見、誤字、脱字、間違い等がありましたら遠慮なくVB-TIPS掲示板へご指摘ください。