[PHP-users 16654]セッションのセキュリティーとキャッシュはトレードオフ?

Yoshitake Ikegame ZVD03666 @ nifty.ne.jp
2003年 7月 13日 (日) 14:10:42 JST


はじめまして池亀と申します。

現在PHPであるサイトの開発をしているのですが、セッションに関して
困った事がおきています。環境は以下の通りです。

***********************************************
■OS:Redhat Linux8.0
■Apache:1.3.27
■PHP:4.3.1
  ※PHP、Apacheともにソースからインストールしました。
■コンパイルオプション
--with-apxs=/usr/local/apache/bin/apxs
--enable-mbstring 
--enable-mbstr-enc-trans
--with-pgsql 
--enable-trans-sid
--enable-memory-limit
--with-db
--with-zlib
***********************************************

メンバー認証にPHPのセッション機能を利用していましてメンバーログイ
ンするとサーバー上にセッション情報を持ち、クライアントにはCookieで
セッションIDを送信しています。

ログインしたユーザーは当然最後にはログアウトしてサービスを終了する
のですが、ログアウトしてセッションを終了させても、ページのキャッシュが
残っている為に本来ログインに成功したユーザーしか見れないページが見
れてしまいます。

上記現象はphp.iniの設定を【session.cache_limiter = private】にしている
場合に発生してしまうのですが、かといって【session.cache_limiter = nocac
he】にして運用するとキャッシュが残っていない為ユーザーが不便になって
しまいます。

セッションのセキュリティーとページのキャッシュはトレードオフの関係にある
のでしょうか?

なんとかセッションのセキュリティーは確保しつつ、キャッシュも有効にする
(例えばブラウザを閉じるまでキャッシュを有効にしておくなど)事はできない
のでしょうか?

以上ご意見宜しくお願い致します。



PHP-users メーリングリストの案内