- ベストアンサー
セッションIDについて
セッションIDの認証機能についてですが、 IDとパスワードを自動認証しているページで、 セッションID収集し、書き換えると 自動認証ができなくなると思ったのですが、 なぜか、実際にはできてしまいます。 具体的には、 IECookiesView v1.70にて、 クッキーの中のセッションID (たとえばアマゾン)情報を編集して、 再度アマゾンにアクセスしてみたのですが、 トップページに自分の名前が書いてあります。 なぜ、このようになっているのか、 ご存知の方がいれば教えていただけますでしょうか。
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
セッションIDの使用目的によります。 多くは許可された接続かどうかは、IDとパスワードにより識別し、 セッションIDを複数ページにわたる接続の結びつけとして使用します。 IDとパスワードによる認証がBASIC認証ならば、ブラウザを閉じるまでは有効ですので、 セッションを書き換えてアクセスしても認証されている状態になります。 よく会員制サイトのログイン画面にある「IDとパスワードを保存する」は、 セッションIDとは別にクッキーにIDおよびパスワードを保存するものです。
