  |
高木先生のご指摘はもっともな面があるものの、一部でヒステリックな反応があるので、言及をする。
NTT DoCoMoの端末はCookieを利用できない。そこで、セッションを引き継ぐために、セッションIDをURLに含める必要がある。ただし、端末はHTTP_REFERERを送信しないので、セッションIDが端末の参照元情報から漏れる心配はない。
一方、AU・SoftbankはCookieを利用できるので、セッションIDをURLに含める必要はない。
全キャリア対応のためと称して、セッションIDをURLに含めると、セッションハイジャックの危険性がうまれる。ただし、フレームワークでそのセッションIDをURLへ埋め込むかどうかを切り替えれば済む話なので、対応が難しいというわけではない。
さらに、携帯電話向けのサービスでは、キャリアの指定するIPアドレスの範囲以外からのアクセスを制限することが一般的になっている。なので、ユーザエージェント情報を書き換えた端末によるアクセスを想定しなくともよい。
20
