[PHP-users 626] Re: セッション情報の漏洩を防ぐ方法

[Yasuo Ohgaki]

大垣です。

前の投稿を自分で読んでみてちょっと解りづらかったと思ったので補足です。

> VirtualHostは利用していないことを前提として返信します。

VirtualHostの利用に関わらず、Sessionを保存するディレクトリの権限を変更して同じよ
うに設定できます。ただ、VirtualHostを利用するとphp_valueやphp_flag等を使って、
VirtualHost単位で設定することもでると言うだけの事です。（Session関連の設定が
VirtualHost単位で設定できる）

.htaccessは使っていないので、調べていません。.htaccessでも設定できるかも知れませ
ん。

> > お世話になります、新開と申します。
> SNIP
> > セッション情報をDBに保存すれば、そのような心配はないかと思います
> > が、サーバを共同運用し、かつ、ファイルに保存している場合、
> > セッション情報を他人から読みとられないようにするには、どうすれば
> > よろしいのでしょうか。
> > 以上、よろしくお願いします。

CGIで良ければ、CGIの方が柔軟に設定できると思います。PHPが使えるホスティングサー
ビスを行っているサイトは大体、CGIを使いスクリプトの利用に制限を設けていると思っ
ています。

設定が面倒、システムリソースが余分に必要、パフォーマンスの問題等がありますが、
chrootを使ってApacheの環境を別にしてしてまう、VMWareを使うなどの方法も考えられま
す。最近のHDDは安くて大きいのでchroot環境も、システム全体をコピーしてしまえば簡
単に出来ます。
ちょっと古いですが、chrootの場合、下記のリンクが参考になると思います。

http://penguin.epfl.ch/chroot.html

# 複数のApacheが動作するかは知りません。複数動作させると
# Shared Memory関連の問題がありそうな気もします。
# VMWareは少なくとも私の環境では安定して動作しますが
# パフォーマンスが気になります。

> # FileよりDBを使った方が楽と思いますが、、、

よく考えて見るとFileの方が楽ではないか？と今は思っています。
管理・監視はDBの方が便利ですが、設定・運用はやはりFileの方が簡単ですね。

他の方の投稿の通り、1台1ホスティングの方が色々と設定・管理が簡単かつ安全です。

最後に、DBの利用量の制限に関するコメントです。
例えばPostgreSQLの場合、各ユーザーが利用しているDBファイルはシステムカタログから
判別できるので、それらのファイルの大きさを計算するスクリプトを作る方法や、リソー
スさえあまり気にしなければ、複数のPostmasterを別ポートで起動させてそれぞれ別の
DATAディレクトリを利用する等の方法で可能と思います。

--
Ohgaki, Yasuo (大垣 靖男)　
Mail: yohgaki@dd.iij4u.or.jp