【PHP】フレームワーク CakePHP　4ホール目【v1.2】

【PHP】フレームワーク CakePHP　4ホール目【v1.2】 at PHP

237:nobodyさん
08/08/06 17:34:27
>>235
こんな感じじゃないかなぁと思う。

１．クッキー対応していなくてもログインできるようにしたために
URLにセッションIDが追加されてしまっていた。

２．TinyMCEのようなブラウザで動くHTMLエディタを実装していた。
これにより、コピペをするとセッションIDが付加されたAタグまでコピペできる。

３．これが公開ページに置かれ、Googleが発見した。
つまりセッションハイジャック状態

４．セッションIDを含んだアドレスをgooglebotが発見、次々に
セッションIDを含んだリンクをたどる。

５．その中にdeleteリンクがあってgooglebotがそれをクリック。

ログインの仕組みを作るにはCookieを使うのが常識だけど、
携帯対応とかでCookieを使わずにアクセスできるようにしちゃうと大変だね。

URLにセッションIDが含まれているときは、携帯から
アクセスできないようにするという考えもあるけど、
そこに携帯サイトもクロールしてほしいとか言い出すと・・・
ワンタイムトークンでも使うのがいいのかな。

次ページ

続きを表示

1を表示