2010年8月21日

[PHP-users 35338] Re:セッションハイジャックと session_regenerate_id() について

林と申します。

> タイムアウトによって、再度ログインを促すような処理は、たとえ正規の
> ユーザーであっても、一定時間を経過すればセッションをリセットすることで、
> より安全にするための方法かと思いました。
> 現時点では、IPアドレスやユーザーエージェント等のチェックも、正当性評価の
> ためのチェック項目として利用できるという理解です。

”正当性”という単語は相対的なものですので、正当性の基準や対象となる要素が
何であるかはまちまちです。
タイムアウトも UA の評価もそれぞれ基準こそ違いますが、行っていることは正
当性の評価です。


> 更に別の角度からもチェックしなければ、正当性の評価としては不十分でしょうか?

HTTP がステートレスである以上、どのような手段を講じてもセッションハイ
ジャックの対策は確率論の域を出ることはありませんので、正当性の評価として
十分かどうかは要件次第です。


> セッションクッキーとは別にクッキーを用意し、そのクッキーと $_SESSIONに
> ワンタイム・トークンのようなデータをセットしておき、毎回照合する、等
> 考えてみたのですが、他にありましたら、教えてもらえますか?
> ※言われているポイントを私がまだ理解していない可能性もあります。

前述の通り PHP の実装で根本的なところをどうこうできるわけではないので、
SSL を使うなどされた方が良いと思います。
_______________________________________________
PHP-users mailing list PHP-users@xxxxx
http://ml.php.gr.jp/mailman/listinfo/php-users
PHP初心者のためのページ - 質問する前にはこちらをお読みください
http://oldwww.php.gr.jp/php/novice.php3


投稿者 xml-rpc : 2010年8月21日 22:42
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/97855
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。