PHP-users ML でいわれてました。
PHPのSession Fixation問題
なるほど、確かに危険ですね。amazon なんかだと、session-id がついているリンクをクリックしても書き換えられてしまいますが、そういうのはちゃんと対策されているということなんでしょう。
Yasuo Ohgakiさんのコメントによると、「dokoka.gr.jp」のページで「.jp」のクッキーに値を埋め込むと、次に「koko.ne.jp」をブラウズしたときにそのクッキーが渡ってしまう。
ブラウザ(クッキーの仕様)の問題でもありますが、デフォルトでは、PHPはこの攻撃に耐えられない。と。
session.referer_check string
sessionのよく誤解してしまいそうな点
2. は DBを使えばいいのかな? dbm とか使えたっけ?
session_set_save_handler
おぉ、自分で書けば何でも OK ってか? Perl の Tie みたいだなぁ。まぁ、dbm を使う場合は保持できるデータサイズに要注意ですが。ガーベージコレクト関数をちゃんと書いて 100% ガーページコレクトするように書いておけば良いようですね。
3. については知ってます。個人サイトなど、小規模のところでは 100% ガーベージコレクトするようにするべきでしょう。
よくわかる現代魔法―ガーベージコレクター ガーベージコレクトは魔法なのか?などと良く分からない事を言ってみる。
addslashesによるエスケープ処理は止めましょう
データベースのエスケープに使っちゃだめです。 ML でも何度か出てたはず。コメントの最後には Ohgakiさんや石井sanまで(^^; SJIS だと DB 用エスケープ関数でも問題ありですか。う~ん、SJIS は使わない方が吉なんですね。
Ohgaki とかかれると「オフガキ」って発音したくなるのは私が変?
PHPのSession Fixation問題
なるほど、確かに危険ですね。amazon なんかだと、session-id がついているリンクをクリックしても書き換えられてしまいますが、そういうのはちゃんと対策されているということなんでしょう。
Yasuo Ohgakiさんのコメントによると、「dokoka.gr.jp」のページで「.jp」のクッキーに値を埋め込むと、次に「koko.ne.jp」をブラウズしたときにそのクッキーが渡ってしまう。
ブラウザ(クッキーの仕様)の問題でもありますが、デフォルトでは、PHPはこの攻撃に耐えられない。と。
session.referer_check string
Refererがクライアントにより 送信されており、かつ、指定した文字列が見付からない場合、埋め込 まれたセッションIDは無効となります。session.use_only_cookies boolean
セッションIDの保存に Cookieのみを使用することを指 定します。デフォルトは、0 (無効)です。この設定を有効にすることにより、セッションIDをURLに埋 め込む攻撃を防ぐことができます。なんだ、ちゃんと書かれてて、簡単な対策もあるんジャン。(あまり使えなさそうだけど)
sessionのよく誤解してしまいそうな点
2. は DBを使えばいいのかな? dbm とか使えたっけ?
session_set_save_handler
おぉ、自分で書けば何でも OK ってか? Perl の Tie みたいだなぁ。まぁ、dbm を使う場合は保持できるデータサイズに要注意ですが。ガーベージコレクト関数をちゃんと書いて 100% ガーページコレクトするように書いておけば良いようですね。
3. については知ってます。個人サイトなど、小規模のところでは 100% ガーベージコレクトするようにするべきでしょう。
よくわかる現代魔法―ガーベージコレクター ガーベージコレクトは魔法なのか?などと良く分からない事を言ってみる。
addslashesによるエスケープ処理は止めましょう
データベースのエスケープに使っちゃだめです。 ML でも何度か出てたはず。コメントの最後には Ohgakiさんや石井sanまで(^^; SJIS だと DB 用エスケープ関数でも問題ありですか。う~ん、SJIS は使わない方が吉なんですね。
Ohgaki とかかれると「オフガキ」って発音したくなるのは私が変?