[PHP-users 12710] Re: session関数を使った際のブラウザ「戻る」ボタン

[Yasuo Ohgaki]

大垣です。

>>; Set to {nocache,private,public,} to determine HTTP caching aspects
>>; or leave this empty to avoid sending anti-caching headers.
>>session.cache_limiter = none
>>
>>; Document expires after n minutes.
>>session.cache_expire = 180
> 
> 
> 肝はsession.cache_limiterの値のようですね。デフォルトのnocashになっていたの
> が原因のようです。

セッションを使っている場合にページキャッシュを無条件
に許可するとセキュリティーホールになります。

キャッシュサーバーがページをキャッシュし他のユーザー
の購入情報等が参照可能になるなどの問題が発生します。

個人情報が含まれる（他のユーザーに見られるベキでない）
情報は少なくともキャッシュリミッターにprivateを利用
しなければなりません。

nocacheでも壊れたキャッシュサーバーがある場合は防ぎ
ようがありません。重要な情報の場合はSSLの利用を検討
しなければなりません。

# キャッシュとセキュリティーは深い関係があります。
# 詳しい動作等は該当するRFCを参照してください。
# 説明しなければならない事が多過ぎてMLに書ける分
# 量ではありません...

--
Yasuo Ohgaki