[PHP-users 726] Re: セッション情報の漏洩を防ぐ方法
Naofumi Kondoh
php-users@php.gr.jp
Mon, 16 Jul 2001 11:55:30 +0900
ソフト工房の近藤です。
新開連三 wrote:
....略....
> ソースを見たところ、HTPP_COOKIEで渡された値を元にしてセッション
> ファイルをオープンしているようです。
COOKIE を使うこと自体がある程度機密レベルを低下させ
ています。それを承知なら、COOKIE は手軽で便利ですが。
....略....
> ownerをroot、groupをnobody等にするのがいいかな、と思っています。
意味がよくわからないのですが、それとは別に、
Apache の httpd.conf で、User nobody にしているとし
たらあまり好ましいことではありません。webuser とか、
別のユーザー名ユーザーグループにすべきでしょう。
例えば、owner が webuser で、chmod 600 が一番厳しい
permission ですね。owner が root の ファイルはやたら
に作らない方がいいですよ。
....略....
>> > # FileよりDBを使った方が楽と思いますが、、、
Ogaki>> よく考えて見るとFileの方が楽ではないか?と今は思っています。
Ogaki>> 管理・監視はDBの方が便利ですが、設定・運用はやはりFileの方が簡単です
Ogaki>> ね。
Ogaki さんのこの話ですが、どの DB かわからないけど、
PostgreSQLや商用DBなど、適当な汎用マスタメンテツールが
あれば、設定ファイル位ならそれほど手間もかからないです。
ユーザー名指定でパスワードでアクセス制御できる DB の方
が確実だと思いますが。
....略....
前にも書きましたが、まず、どういう機密管理が必要なのか
セキュリティーポリシーを明確に立てるのが先決です。
中途半端なフォローで申し訳ない。
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
(株)ソフト工房 近藤直文 Email: nkon@shonan.ne.jp
PostgreSQL 汎用DB検索ツール デモ
http://www.softkoubou.co.jp/cslweb/index.php3
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/