2010年8月11日

[PHP-users 35333] Re:セッションハイジャックと session_regenerate_id() について

森です。

あきらさん、コメントありがとうございます。

> Mantis http://www.mantisbt.org/)などでは
>
> セキュア・セッション:セッションをこのIPアドレスに限定する。
>

> というログインオプションがあります。

これは、「ログイン状態を維持する」と同じように、ログイン時にユーザ同意のもとで追加されるオプション
のことを指していると理解しましたが、こういうオプションはより安全度が増して良いですね。
参考にさせていただきます。

> あとSSLでない時点で「ネットワークをモニター」の時点でIDとパスワードが抜けれて
> いると思います。

SSL と上記のログインオプションがあれば、問題はほぼクリアされたと言えそうです。
ただ、前の返信でも書いたように SSL が使用できないという現状のため、
その他の部分を万全にしていても最も基本的な部分がダメという感じです。

SSL についての問題は致命的ですが、session_regenerate_id() やその他の対策については、
一定の理解が得られたかと思っています。
_______________________________________________
PHP-users mailing list PHP-users@xxxxx
http://ml.php.gr.jp/mailman/listinfo/php-users
PHP初心者のためのページ - 質問する前にはこちらをお読みください
http://oldwww.php.gr.jp/php/novice.php3


投稿者 xml-rpc : 2010年8月11日 14:42
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/97546
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。