[PHP-users 17268]Re: セッションハイジャック対策

2003年 8月 11日 (月) 02:34:33 JST

 ミワです。わたなべさんご教授ありがとうございます。
In message 「[PHP-users 17254] Re: セッションハイジャック対策」
Y.Watanabe wrote...
>> セッションハイジャックに対して、現状で効果があるものはどのようなものが
>> 考えられるのでしょうか?
>>PHPでのセッションの話ですよね?(念のため)
>まあ他の言語でも基本は一緒ですが。

 PHPのセッションです。すいません。
>> #できれば、クッキーを使わない方法でできると、非常に助かります。
>>cookieを使わないとなるとセッションIDを
>URL埋め込みするよりほかありません。
>SSLを使えばリクエストのURL部分も暗号化されるはず
>ですから期待に添うでしょう。
>>ただし、ブラウザのリファラーにURLが現れてしまって
>そこからセッションIDが他にバレる可能性が残るような・・・。
>>cookieにセッションIDを入れるなら、
>そのクッキーをSSL経由でしか有効でないように
>してしまえばやはり安全になるでしょう。
>> http://jp.php.net/manual/ja/ref.session.php
> session.cookie_secure

 携帯などにも対応させようと思うと、
 やはり、SSLは必須みたいですね。
>あとは、php4.3.2から導入された
>session_regenerate_id()を使って、
>セッションIDをコロコロ変えるようにしてしまえば
>やはり安全性はあがります。
>(セッションIDを盗聴されても悪用される前にすぐにそのIDが
> 無効になってしまえば盗聴も無意味なので安心、の理論)

 php4.3.2 をインストールしてみましたので、
 こちらも検証してみたいと思います。
 ありがとうございました。