[PHP-users 20126]Re: リモートアドレスがころころ変わる状況

[T.Okabe]

岡部といいます。

>短期のセッション、記入してフォームを送信するだけの短い間のセッ
ションの
>検証として、セッションにリモートアドレスを記録して前回と違えば
セッションを破棄するというようなことを考えていますが、リモートア
ドレスがころころ変わる状況ってあるのでしょうか？

>どちらもSSL等のセキュリティの無い状態で、できるだけセッション
ジャック等
>遭いにくいようにという目的です。よろしくお願いします。

リモートアドレスがころころ変わることは
既にコメントが付いている通りと思います。

セッションハイジャック対策としては、
次のような方法も使えるのではないかと思います。

「PHPプログラマーズマガジン」
http://www.phppro.jp/
http://www.phparch.com/ (本家 php|architect)
の2003年2月号に、
「ハッシュ関数を使ったデータのフィンガープリント法」
という記事があります。

HMAC (Hashed Message Authentication Code) を用いて、
送信元から送信されてきたデータについて、
受信先でその同一性と信憑性を確認するというものです。

記事の主眼はデータの改ざん対策ですが、
セッションIDの改ざん対策として読み替えれば、
検証はしていませんが、
効果的な使い方ができるのではないかと思います。

脆弱性対策に詳しいというわけではないので、
はずしてたらごめんなさい。