[PHP-users 17254]Re: セッションハイジャック対策

[Y.Watanabe]

わたなべです。

Eiji Miwa wrote on 2003/08/08 14:59
with Subject: [PHP-users 17252] セッションハイジャック対策

>
>　セッションハイジャックに対して、現状で効果があるものはどのようなものが
>　考えられるのでしょうか？

PHPでのセッションの話ですよね？（念のため）
まあ他の言語でも基本は一緒ですが。

>　＃できれば、クッキーを使わない方法でできると、非常に助かります。

cookieを使わないとなるとセッションIDを
URL埋め込みするよりほかありません。
SSLを使えばリクエストのURL部分も暗号化されるはず
ですから期待に添うでしょう。

ただし、ブラウザのリファラーにURLが現れてしまって
そこからセッションIDが他にバレる可能性が残るような・・・。


cookieにセッションIDを入れるなら、
そのクッキーをSSL経由でしか有効でないように
してしまえばやはり安全になるでしょう。

   http://jp.php.net/manual/ja/ref.session.php
        session.cookie_secure 
           session.cookie_secureは、 セキュアな接続を
           通じてのみCookieを送信できるかどうかを指定します。

あとは、php4.3.2から導入された
session_regenerate_id()を使って、
セッションIDをコロコロ変えるようにしてしまえば
やはり安全性はあがります。
（セッションIDを盗聴されても悪用される前にすぐにそのIDが
  無効になってしまえば盗聴も無意味なので安心、の理論）

そんなとこでしょうか。