PHPのセッション管理の脆弱さについて
ところで、デフォルトではsession.use_only_cookiesはoffに設定されています。しかし、普通のサイトは session.use_only_cookiesはONで運用するべきです。もし、offで運用されている場合、強くONに変更して運用することをお勧めします。先ほども書きましたが、session.use_only_cookies=onであればSession Fixation問題はそれほど重大な問題とは言えません。パッチを適用していない場合でもsession.use_only_cookies=onであればそれほど心配する必要はありません。
やはり、PHPのセッション管理機能は気になりますね。
PCサイトだとsession.use_only_cookiesをonにすることができますが、携帯サイトだと。。。そっか、公式サイトだと端末ID取れるから問題ないのか。んじゃ、勝手サイトは。。。悩ましいところです。
あと、yohgakiさんのところのPHPのStrictセッションも是非一読を。
- 作者: GIJOE
- 出版社/メーカー: ソシム
- 発売日: 2005/11/01
- メディア: 単行本
- 購入: 32人 クリック: 340回
- この商品を含むブログ (82件) を見る