- - PR -
XPsp2のポップアップ制御について
1
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-10-06 11:01
はじめまして、らざにあ と申します。
この度システムの改修を行い、これまでHiddenで値を持ち回り、Getで送信していたところを、Postを使用して処理を全てサーバーサイドで行う仕様となりました。 セキュリティの向上を目指したものでしたが、これによりリンク形式のポップアップ制御 (A href=javascript.window.open)が使用できなくなり、XpSp2のポップアップ制御に引っかかるようになりました。 セキュリティレベルを落とすか、ドメインを信頼するサイトに置けば立ち上がりますが。 これについてエンドユーザー(2次顧客)からは"セキュリティレベルを落とさないと起動しないってことは、システムのセキュリティレベルが落ちているってことですよね"といわれています。 お客様(1次顧客)は改修の意味を理解されていますが、コンピューターを全く知らない人に説明するのに苦慮しているようです。 うまい説明の仕方がありましたら、お知恵を拝借させていただければと存じます。 | ||||||||
|
投稿日時: 2006-10-06 12:32
フレームワークに何を使っているのか知らないけど「WEBブラウザに保持させていた値を、サーバーに保持するようにしました。」と言う話ですよね。コレ自体はGETでもPOSTでも実現できるし、GETをPOSTに変えた所でセキュリティが向上する分けでもないので、言い訳にしか聞こえないです。
難しいでしょうね。セキュリティ云々以前に「いまどきポップアップブロックぐらい常識だろ。後になって『動かないからブラウザの設定を変えてください』なんて、何考えてんの?」と言われると思います。 | ||||||||
|
投稿日時: 2006-10-06 12:51
うーん…。セキュリティレベルを落とすよりは、信頼サイトを加えるほうが、それらしいと思いますが。
「システムのセキュリティレベルは変わっていないが、IEが要求するセキュリティレベルが高くなったから、それに合わせて設定を変えなければならない」 というのではだめですか。 | ||||||||
|
投稿日時: 2006-10-06 16:51
お忙しい中、ご回答ありがとうございます。
甕星様 >GETをPOSTに変えた所でセキュリティが向上する分けでもないので、 説明が足りず、すみません。 今まではSessionIDをURLの後ろに連結していました。 新システムではこれをやめ、サーバー側でセッション管理をするようにしております。 セキュリティ面は向上していると言えないでしょうか。 ちなみにフレームワークはC#.NETです。 mio様 ユーザーには信頼サイトに加えてもらうように促すつもりです。 ただ、ご提示いただいた説明ですと、「旧システムはIEが要求するセキュリティレベルに到達してる(ポップアップのセキュリティレベル中でポップアップ可能)のに、新システムは対応していない(ポップアップのセキュリティレベル低でポップアップ可能)ってことですか」と言われてしまうのです。。。 | ||||||||
|
投稿日時: 2006-10-06 17:01
C#.NETはよく知らないのですが、URL埋め込みからCookieに変えたということでしょうか?どちらにしても見る人間には見えます(ブラウザからSessionIDをまったく送らないと言うことは無理なので)。 アンカータグで別ウィンドウを開いたらSessionが切れるんでしたっけ?他の言語だとあまり深く考えたことがない(考えなくてOKだった)ので・・。 #というかPopup自体をほとんど使わないか(汗 | ||||||||
|
投稿日時: 2006-10-06 17:09
前回までのものが、アドレスバーで丸見えになっていたのなら、向上してますよ。 ただ、外向けのシステムだとしたら、セッションだけでは弱いでしょうね。
システムではなくIEが変わった、というところを強調しないと、どうしようもないのでは。 |
1