TAMURA Toshihiko
tamur****@bitsc*****
2004年 4月 27日 (火) 13:09:33 JST
こんにちは、田村です。 チャイナウェブさん: > これを適用しない場合、具体的にどんなことになるのでしょうか? > それでお客さんのアカウントに不正アクセスし、個人情報と注文履歴も見えてしまう > のでしょうか? 2人が同じセッションID付きのURLでショップに続けてアクセスして、 最初の人がログインしていたとすると、 ショップのトップページに次のようなメッセージが表示されます。 「いらっしゃいませ、山本 太郎 さん。 新着商品 をご覧になりますか?」 それから、ショッピングカートの中身も見えます。 [アカウント情報]のページに移動すると、 個人情報と注文履歴を見ることができます。 MSNの検索結果からのアクセス例は、こちらの方がよかったですね。 ---------------------------------------- "GET /catalog/product_info.php?products_id=999&osCsid=xxxxx HTTP/1.1" 200 67218 "http://search.msn.co.jp/spresults.aspx?q=xxxxx&FORM=IE4" "Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)" ---------------------------------------- 問題になるのは、商品詳細ページが検索エンジンの検索結果に表示された場合が ほとんどでしょうから、検索エンジン対策がうまくできているサイトほど、 危険なように思えます。 -- 田村敏彦 / 株式会社ビットスコープ E-mail:tamur****@bitsc***** http://www.bitscope.co.jp/
