[PHP-users 11973] Re: 「他人の情報を表示するサイト」

Wed, 04 Dec 2002 18:59:17 +0900

At Wed, 04 Dec 2002 17:59:31 +0900,
Rich wrote:

> 田村様の記事をみてふと疑問に思ったのですが、PHPにおいて、アクセス過多な
> ど何かしらの原因で、直前に利用していたセッションIDと同じものが割り当てら
> れることはありうるのでしょうか？

ないとは言えないでしょうね。

> ありうるのであれば、それを回避するためにはどうしたらよいのでしょうか？

PHP が提供するセッション ID 機能を過信せずに自前でさらにチェックする。


で、ネタとして、だめな方の例をあげると、

・HTTP Referer
・User Agent
・アクセス元 IP アドレス

これらの情報を使用する場合、特定用途では参考値としてチェック可能ですが、
不特定多数のサービスの場合、
同一クライアントからのアクセスかどうかは、チェックできません。

> ご教示頂けたら幸いです。

どのくらいの確率でセッション ID がぶつかるかについては、
MD5 について調べてみることをおすすめします。


で、ext/session/session.c は MD5 で決めうちですね。
SHA1 等と切り替えられると、うれしい人っているのかしらん。
-- 
         =^^= HODA =^^=          http://www.tail.gr.jp/~hoda/
澤田保隆@しっぽアルゴリズム情報研究所  mailto:hoda@tail.gr.jp