[PHP-users 28304] Strict Sessionパッチ

[Yasuo Ohgaki]

大垣です。

昨年の11月にHardedned PHPのStefanさんがStrict Sessionパッチを公開さ
れました。PHP 5.1.2にもそのまま適用できるのですが、SQLite用のvalidation
関数が定義されていない為、SQLiteと一緒にビルドできませんでした。

個人的なニーズがあったのでSQLiteも一緒にビルドできるパッチを作りました。

http://blog.ohgaki.net/index.php/yohgaki/2006/02/02/strict_sessioncric_a_a_a

PHP4は運用していないのでパッチは作っていません。PHP 5.1.2用のみです。

Strict Session管理で何が良くなるか、というとSession IDの固定化攻撃を
防げる事です。（Session Fixation) セッションIDの固定化が可能であると
メールやWebサイトのURLにセッションIDを記述しそのURLを利用したユーザ
に成りすませる脆弱性です。一言で説明するならアカウントが乗っ取られる
脆弱性を無くすパッチです。

セッションID管理にクッキーを利用していれば多少は安全性が増しますが、
クッキーを利用していもセッションIDの固定化は可能です。

PHP5を利用されている方で必要な方はどうぞ。

PHP4な方でこのレベルのセキュリティが必要な方はsession.use_only_cookies=on
に設定して、セッションID値が有効な値である事を保証するメッセージダイ
ジェストをクッキーとして保存し、セッション開始前にセッションIDとメッ
セージダイジェストを比較して改ざんを検出してください。

-- 
Yasuo Ohgaki