回答編集履歴
1
a
test
CHANGED
@@ -6,7 +6,11 @@
|
|
6
6
|
|
7
7
|
|
8
8
|
|
9
|
-
端末固有IDがバレてしまってもアクセスできますよね.ネットワークの仕組み上,リクエストパラメータは任意に組み立てることができますから.**送信元は第三者が作成したプログラムかもしれません.**
|
9
|
+
端末固有IDがバレてしまってもアクセスできますよね.ネットワークの仕組み上,リクエストパラメータは任意に組み立てることができますから.**送信元は第三者が作成したプログラムかもしれません.**
|
10
|
+
|
11
|
+
|
12
|
+
|
13
|
+
それに,「トークンがバレる」ということは暗号化されない通信を想定しているはずであり,**暗号化せずに端末固有IDをネットワーク上に流す**ということのほうが問題です.もし暗号化しないのであれば,有効期限の短い識別子(つまりPHPSESSID)しか平文で流してはいけません.さらに,メールアドレスやパスワードの変更など,重要な情報が含まれる通信の際には事実上暗号化が必須になります.
|
10
14
|
|
11
15
|
|
12
16
|
|