2010年8月11日

[PHP-users 35332] Re:セッションハイジャックと session_regenerate_id() について

あきらです

> これは、IP アドレスのような変化しうる情報に関しては、リクエストのIP アドレスと
> セッションに保持されたIP アドレスが一致しなければ、万が一を考えてセッションを破棄するような処理に
> しておくべきという意味合いですか?

Mantis http://www.mantisbt.org/)などでは

セキュア・セッション:セッションをこのIPアドレスに限定する。

というログインオプションがあります。
常にIPアドレスとチェックをしていると、ころころアクセスIPアドレスが変わる
ケーブルテレビ網などで問題が出やすいとは思います

あとSSLでない時点で「ネットワークをモニター」の時点でIDとパスワードが抜けれて
いると思います。

あきら
_______________________________________________
PHP-users mailing list PHP-users@xxxxx
http://ml.php.gr.jp/mailman/listinfo/php-users
PHP初心者のためのページ - 質問する前にはこちらをお読みください
http://oldwww.php.gr.jp/php/novice.php3


投稿者 xml-rpc : 2010年8月11日 10:44
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/97545
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。