[PHP-users 17268]Re: セッションハイジャック対策

[Eiji Miwa]

　ミワです。わたなべさんご教授ありがとうございます。

In message 「[PHP-users 17254] Re: セッションハイジャック対策」
Y.Watanabe wrote...

>>　セッションハイジャックに対して、現状で効果があるものはどのようなものが
>>　考えられるのでしょうか？
>
>PHPでのセッションの話ですよね？（念のため）
>まあ他の言語でも基本は一緒ですが。

　PHPのセッションです。すいません。

>>　＃できれば、クッキーを使わない方法でできると、非常に助かります。
>
>cookieを使わないとなるとセッションIDを
>URL埋め込みするよりほかありません。
>SSLを使えばリクエストのURL部分も暗号化されるはず
>ですから期待に添うでしょう。
>
>ただし、ブラウザのリファラーにURLが現れてしまって
>そこからセッションIDが他にバレる可能性が残るような・・・。
>
>cookieにセッションIDを入れるなら、
>そのクッキーをSSL経由でしか有効でないように
>してしまえばやはり安全になるでしょう。
>
>   http://jp.php.net/manual/ja/ref.session.php
>   session.cookie_secure

　携帯などにも対応させようと思うと、
　やはり、SSLは必須みたいですね。

>あとは、php4.3.2から導入された
>session_regenerate_id()を使って、
>セッションIDをコロコロ変えるようにしてしまえば
>やはり安全性はあがります。
>（セッションIDを盗聴されても悪用される前にすぐにそのIDが
>  無効になってしまえば盗聴も無意味なので安心、の理論）

　php4.3.2 をインストールしてみましたので、
　こちらも検証してみたいと思います。

　ありがとうございました。