[PHP-users 22898]Re: 複数アカウントで同時ログインさせたい

[Hiroshi Ishiura]

石浦です。

早速のお返事ありがとうございます。
すいません環境は

apache_1.3.28
PHP 4.3.3
postgresql-7.3.3

PPHPで関係する現在の設定は
session.use_cookies = 1
; session.use_only_cookies = 1　コメントアウト中
session.auto_start = 0
session.cookie_lifetime = 0
session.use_trans_sid = 1

ご指摘の件は私もきづいていましたがやはりセッションがURLにくっついてまわ
るのはリスクおうので避けたいところです・・

> 
> 渡辺です。
> 
> 環境書いてください。
> 環境書いてください。
> 環境書いてください。
> 
> PHPのバージョンやらによってやれることやれないこと、
> 設定ファイルの書き方などなど微妙に違うのですから。
> 
> 
> PHPのセッションIDをクッキーを使わずURL埋め込みにすれば
> 無改造でいけるでしょう。
> 
> つまりphp.iniで
> 
> session.use_cookies = 0
> session.use_only_cookies = 0
> session.use_trans_sid = 1
> 
> ただしセッションIDが漏洩しやすくなるという
> セキュリティリスクは理解しておくべきでしょう。
> 
> Hiroshi Ishiura wrote on 2004/08/02 10:52
> with Subject: [PHP-users 22894] 複数アカウントで同時ログインさせたい
> 
> >石浦です。
> >
> >ログインセッションに関してご相談させてください。
> >現在あるASPシステムのログインをサーバー側のセッションで管理しております。
> >それで本部側が初期設定等をする関係上同時に複数ログインさせた状態で作業を
> >したいとの要望があり、現在次のような状態です。
> >
> >１、先にAアカウントでログイン
> >２、別ウインドウでログイン画面を開きBアカウントでログイン
> >３、セッションで管理している関係上Bアカウントとして上書きされるが、先に
> >開いていたAアカウントの画面をそのまま何か作業をしようとするとBアカウント
> >の情報として上書きされる。
> >
> >つまりこの状態をAでもBでもログインさせた状態で同時作業をしたいとのことな
> >んですが、この場合hiddenでバケツリレー方式になってしまう方法しか思いつか
> >ないんですがセキュリティ的に少し不安です。
> >私としてはIDだけhiddenでもっておいてセッションIDとhiddenのIDが違っていた
> >らエラー表示させて再ログインさせる方向が無難であると思うのですが・・・
> 
> _______________________________________________
> PHP-users mailing list  PHP-users ＠ php.gr.jp
> http://ns1.php.gr.jp/mailman/listinfo/php-users
> PHP初心者のためのページ - 質問する前にはこちらをお読みください
> http://www.php.gr.jp/php/novice.php3

-- 
Hiroshi Ishiura <issy777 ＠ entrance-e.com>