- - PR -
XPsp2のポップアップ制御について
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-10-06 11:01
はじめまして、らざにあ と申します。
この度システムの改修を行い、これまでHiddenで値を持ち回り、Getで送信していたところを、Postを使用して処理を全てサーバーサイドで行う仕様となりました。 セキュリティの向上を目指したものでしたが、これによりリンク形式のポップアップ制御 (A href=javascript.window.open)が使用できなくなり、XpSp2のポップアップ制御に引っかかるようになりました。 セキュリティレベルを落とすか、ドメインを信頼するサイトに置けば立ち上がりますが。 これについてエンドユーザー(2次顧客)からは"セキュリティレベルを落とさないと起動しないってことは、システムのセキュリティレベルが落ちているってことですよね"といわれています。 お客様(1次顧客)は改修の意味を理解されていますが、コンピューターを全く知らない人に説明するのに苦慮しているようです。 うまい説明の仕方がありましたら、お知恵を拝借させていただければと存じます。 | ||||||||
|
投稿日時: 2006-10-06 12:32
フレームワークに何を使っているのか知らないけど「WEBブラウザに保持させていた値を、サーバーに保持するようにしました。」と言う話ですよね。コレ自体はGETでもPOSTでも実現できるし、GETをPOSTに変えた所でセキュリティが向上する分けでもないので、言い訳にしか聞こえないです。
難しいでしょうね。セキュリティ云々以前に「いまどきポップアップブロックぐらい常識だろ。後になって『動かないからブラウザの設定を変えてください』なんて、何考えてんの?」と言われると思います。 | ||||||||
|
投稿日時: 2006-10-06 12:51
うーん…。セキュリティレベルを落とすよりは、信頼サイトを加えるほうが、それらしいと思いますが。
「システムのセキュリティレベルは変わっていないが、IEが要求するセキュリティレベルが高くなったから、それに合わせて設定を変えなければならない」 というのではだめですか。 | ||||||||
|
投稿日時: 2006-10-06 16:51
お忙しい中、ご回答ありがとうございます。
甕星様 >GETをPOSTに変えた所でセキュリティが向上する分けでもないので、 説明が足りず、すみません。 今まではSessionIDをURLの後ろに連結していました。 新システムではこれをやめ、サーバー側でセッション管理をするようにしております。 セキュリティ面は向上していると言えないでしょうか。 ちなみにフレームワークはC#.NETです。 mio様 ユーザーには信頼サイトに加えてもらうように促すつもりです。 ただ、ご提示いただいた説明ですと、「旧システムはIEが要求するセキュリティレベルに到達してる(ポップアップのセキュリティレベル中でポップアップ可能)のに、新システムは対応していない(ポップアップのセキュリティレベル低でポップアップ可能)ってことですか」と言われてしまうのです。。。 | ||||||||
|
投稿日時: 2006-10-06 17:01
C#.NETはよく知らないのですが、URL埋め込みからCookieに変えたということでしょうか?どちらにしても見る人間には見えます(ブラウザからSessionIDをまったく送らないと言うことは無理なので)。 アンカータグで別ウィンドウを開いたらSessionが切れるんでしたっけ?他の言語だとあまり深く考えたことがない(考えなくてOKだった)ので・・。 #というかPopup自体をほとんど使わないか(汗 | ||||||||
|
投稿日時: 2006-10-06 17:09
前回までのものが、アドレスバーで丸見えになっていたのなら、向上してますよ。 ただ、外向けのシステムだとしたら、セッションだけでは弱いでしょうね。
システムではなくIEが変わった、というところを強調しないと、どうしようもないのでは。 | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。