[PHP-users 19099]Re: PHPSESSIDの改ざんについて

[SAWADA Hodaka]

At Tue, 25 Nov 2003 12:13:05 +0000,
matsui toshiyuki wrote:

> ログイン認証後に、session_start() で、クッキー(PHPSESSID)を発行します。
> しかし、改ざんツールを使用すると、session_start() 後に、PHPSESSID の値を
> 改ざんして、発行することが可能です。

ログイン認証前からセッションに突入するというのはいかがでしょうか。

> そこで、ご質問なのですが、
> １．改ざんを防ぐことは可能ですか？

http では改竄を防ぐことは無理です。
https ならば、セッション変数とは別の層で防御を強化することはできます。

> ２．PHPSESSID の値の妥当性をチェックすることは可能ですか？

改竄されれば、その user の権限は取れないでしょうね。

問題は別の user になりすませる可能性があるという事です。

で、最悪なりすまされた場合に、被害を最小にするには、
・パスワード変更画面で生パスワードを見せない
・パスワード変更画面で現パスワードと新パスワードを同時に入力させる
・タイムアウト設定時間で必ずセッションを無効にする
・多重ログインさせずに、あと勝ちにする
・前回ログイン、ログアウト情報を user に閲覧できるようにする
てな気づかいが必要です。

クレジットカード番号なんかも表示しないのが重要です。
-- 
         =^^= HODA =^^=          http://www.tail.gr.jp/~hoda/
澤田保隆@しっぽアルゴリズム情報研究所  mailto:hoda ＠ tail.gr.jp