- ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:ASP.net MVC セッションハイジャック対応)
ASP.net MVC セッションハイジャック対応
このQ&Aのポイント
- ASP.NET MVC 2.0で運用保守しているモバイル会員向けのサイトにおいて、セッションIDの表示方法がセキュリティ上の問題となったため、セッションIDの変更方法を探しています。
- 従来のWeb.Configでは、セッションIDがURLに表示されるように設定されていましたが、セキュリティ上の問題が指摘されたため、セッションIDの変更を実施しました。
- 現在、スマートフォンやPCからのアクセスではセッションIDがURLに表示されず、ログイン前後でセッションIDが変わることが確認できます。しかし、クッキー非対応の携帯ではセッションIDが変更されない問題が発生しています。クッキー非対応の端末でもセッションIDを変更する方法についてご教示いただけないでしょうか?
- ariano343
- お礼率100% (1/1)
- Microsoft ASP
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
AutoDetectの説明としてこんなのがありますね。 http://www.atmarkit.co.jp/fdotnet/aspnetmobile/aspnetmobile04/aspnetmobile04_02.html で、ここで「ブラウザをデバイス・プロファイルで識別した結果による。」というのがくせもの。 デバイス・プロファイルってなんだ?という話になってきます。 で、その実体は、と。。。 http://www.atmarkit.co.jp/fdotnet/aspnetmobile/aspnetmobile02/aspnetmobile02_03.html このあたりかな? ブラウザ定義ファイルというのがありまして、、、と で、この定義ファイル、、、当初は便利だったんですが、その後とくに日本の携帯に対応した形でのメンテナンスがされてない、はず。 この定義ファイルにうまくひっかからないと想定していない動きになってもおかしくないです。 まあ、もしかすると本当の原因はここじゃないのかもしれませんが、このあたりをきちんとおいかけないとASP.NETが各種の端末にたいしてどう動いているかは判断できません。 携帯というかフィーチャーフォン、ですか。 それ向けにはもとのとおりcookieless="true"としたページを提供して、PC/スマホ向けには別のページを提供する、というのが現実的な解なのではないかと考えています。
お礼
ご回答ありがとうございました。 ブラウザ定義ファイルというのは大変参考になりましたが、 本件とは関係がなさそうです。 やはりガラケーとスマフォ向けは分けるしかなさそうですね。 その方向で検討したいと思います。