[PHP-dev 1136] Re: sessionid の COOKIE 値の汚染について

[Yasuo Ohgaki]

大垣です。

結論から言うと仕様です。バグではありません。

haward wrote:
> 渡辺と申します。
> 
> セッションまわりでちょっと気づいてしまったのですが、
> 仕様と受け取るべきかバグと受け取るべきか、ご意見うかがえますか？
> 
> 環境：Red hat Linux 9 + apache1.3.33 + php4.3.10
> （php.iniはphp-dest.iniのほぼデフォルト）
> 
> ブラウザ：Firefox1.0.4 + Cookieエディタエクステンション
> （https://addons.mozilla.org/extensions/moreinfo.php?id=573 )
> 
> コード：
> <?php
> session_start();
> ?>
> 
> 手順：
> (1)上のコードをWebサーバにおいてブラウザからアクセス。
> (2)Cookieエディタを使って、セッションIDを次のように変更
>    変更前：bf8e816f5a7a7e6bd1991ecf133676df
>    変更後：bf8e816f5a7a7e6bd1991ecf133676d-
> (3)もう一度アクセスすると次のエラーとなる
> Warning: session_start(): The session id contains invalid characters, valid
> characters are only a-z, A-Z and 0-9 in /usr/local/apache/htdocs/session.php on
> line 2
> Warning: Unknown(): The session id contains invalid characters, valid characters
> are only a-z, A-Z and 0-9 in Unknown on line 0
> Warning: Unknown(): Failed to write session data (files). Please verify that the
> current setting of session.save_path is correct (/tmp) in Unknown on line 0
> 
> こういうのって、PHPエンジン側で対処すべきかなぁと思うのですが・・・。

こう言う無効なセッションIDが送られるケースは何らかの攻撃が行われている場
合である、と仮定するべきと考えています。

その後の処理の仕方は色々あるのでセキュリティニーズに応じて処理する、と言
う事になります。

-- 
Yasuo Ohgaki