[PHP-users 8780] セッションID とセッションの安全性について
zaki
php-users@php.gr.jp
Fri, 19 Jul 2002 13:39:46 +0900
zakiと申します。よろしくおねがいします。
apache1.3.26+php4.2.1でセッション使って開発してます。
質問(1)
セッションIDを透過的に渡してるんですけど、
php.4.2.1でソースからconfigureするときに、「--enable-trans-sid」スイッチがないみたいで、
php.iniみたら、最初からtrans-sid=1になってるんですけど、
これはデフォルトで透過的に渡すようになってるんですか?
質問(2)
frameを使って画面2分割にして、frameAのフォームボタンをして、frameBにセッションID渡そうとするんですが、
POSTで透過的に渡せずに、なぜかGETで渡っちゃうんですけど、
($_POSTは空っぽで、$_GETにPHPSESSIDがはいってる状態です。)
これは仕様なんですか?
もしPOSTで渡せるのであればヒントをいただきたいです。
質問(3)
最後にセッション自体の安全性についてなんですが、
セッション盗まれるケースとかそんなに多いものなんでしょうか?
自分のサーバのテストしてみたいので、攻撃手法・ツールとかがあれば教えていただきたいです。
以上になります。よろしくお願いします。
------------------
zaki@qoo.megax.ne.jp