[PHP-users 17523]Re: Sessionをつかったログイン情報の保存

[キャスター マイルド]

こんばんは。キャスターマイルドです。

渡辺さん、ご返信ありがとうございました。
> セッション管理の安全性を高める話は
> [PHP-users 17252]セッションハイジャック対策
> http://ns1.php.gr.jp/pipermail/php-users/2003-August/017782.html
> のあたりを見てみてください。
> あと、セッションの有効期限も気にしたほうがよいでしょう。
> よくある手段としては、session.cookie_lifetimeの値を調整するとか

私もこのスレッドは、最近の話だったので、
ログイン関係に関しては、SSLを利用しています。



さて、あれから、いくつかの解説サイトを探してみたのですが、
そもそもsessionを利用して、ユーザー側のクッキーの保存される
内容は、sessionIDだけで有るのでしょうか？
もしそうならば、私は、クッキーに「ID」と「パスワード」が
保管されるのだと思っていましたので、
私は大きな勘違いをしておりました。
これが、本当なら、
・ブラウザを閉じたタイミングでセッションをクローズする。
・有効期間を短くする。
などの方法で、対処できそうなのですが・・・
皆様のご意見をお待ちしております。

失礼致します。