[PHP-users 726] Re: セッション情報の漏洩を防ぐ方法

[Naofumi Kondoh]

ソフト工房の近藤です。

新開連三 wrote:

....略....

> ソースを見たところ、HTPP_COOKIEで渡された値を元にしてセッション
> ファイルをオープンしているようです。

COOKIE を使うこと自体がある程度機密レベルを低下させ
ています。それを承知なら、COOKIE は手軽で便利ですが。

....略....

> ownerをroot、groupをnobody等にするのがいいかな、と思っています。

意味がよくわからないのですが、それとは別に、
Apache の httpd.conf で、User nobody にしているとし
たらあまり好ましいことではありません。webuser とか、
別のユーザー名ユーザーグループにすべきでしょう。

例えば、owner が webuser で、chmod 600 が一番厳しい
permission ですね。owner が root の ファイルはやたら
に作らない方がいいですよ。

....略....

   >> > # FileよりDBを使った方が楽と思いますが、、、
Ogaki>> よく考えて見るとFileの方が楽ではないか？と今は思っています。
Ogaki>> 管理・監視はDBの方が便利ですが、設定・運用はやはりFileの方が簡単です
Ogaki>> ね。

Ogaki さんのこの話ですが、どの DB かわからないけど、
PostgreSQLや商用DBなど、適当な汎用マスタメンテツールが
あれば、設定ファイル位ならそれほど手間もかからないです。

ユーザー名指定でパスワードでアクセス制御できる DB の方
が確実だと思いますが。

....略....

前にも書きましたが、まず、どういう機密管理が必要なのか
セキュリティーポリシーを明確に立てるのが先決です。

中途半端なフォローで申し訳ない。

_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/
 (株)ソフト工房   近藤直文   Email:  nkon@shonan.ne.jp 
           PostgreSQL 汎用DB検索ツール デモ  
      http://www.softkoubou.co.jp/cslweb/index.php3
_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/