ikepyonのだめ人間日記

セキュリティに関することを書いていく予定。

セッションIDって?

http://b.hatena.ne.jp/into_the_blue/20091001#bookmark-16421068
語弊がある言い方だけど、セッションIDってそもそもユーザ認証ではなく、ユーザ識別だと思う。
セッションが生きている場合に限り、どのユーザがリクエストを送信しているのかを識別するものであって、そのユーザが本人かどうかを確認する認証ではない。
なので、セッションIDを含んだURLをリンクとして貼り付けると、セッションが生きている間、その人と認識されるのは当たり前。
今回の大本の問題のケースでは、セッションの維持時間をある程度短くするとか、するべきだったんだろうなぁ。
まあ、それもこれもDocomoが<追記>一部の端末で<追記>未だにCookie対応していないのが原因なんだが。
GateWayCookie付加するようには出来ないのかなぁ?システム上大変だろうけど・・・