[PHP-users 33983] Re: クッキーを受け付けないUserAgent（日本のケータイに限らず）に対してもセッション管理しつつセッションハイジャックを防ぎたい

[KOSAKI]

こんにちは、こさきです。

D さんは書きました:

> 表題の通りなのですが、クッキーを受け付けないUserAgent（日本のケータイに
> 限らず）に対しても、
> セッション管理しつつセッションハイジャックを防ぎたい
> と思っています。
> 
> 
> （１）（日本の）ケータイの場合：
> 調べたところ、
> クッキーを受け取らないUserAgentが多く、
> その場合、端末固有ID（ただし、imodeの場合は、iモードID。「utn」だと毎回
> ダイアログが出てしまう）と
> IPアドレス制限によって防ぐのが常套手段だけど、
> クッキーを受け取るUserAgentもあるようです。

この件に関しては、以下の記事が参考になるかもしれません。

「■ 無責任なキャリア様に群がるIDクレクレ乞食
　 ―― 退化してゆく日本のWeb開発者」
http://takagi-hiromitsu.jp/diary/20080727.html#p01


> ●セッションハイジャックされていないとわかった時点で、
> 　session_regenerate_id(TRUE);
> するのが常套手段だとは思いますが、

これは質問なのですが、「ハイジャックされていない」とどうやって判断するの
でしょうか。

> セッションID付きのURLをブックマークされた場合、
> そのブックマークからアクセスした場合、そのURL中のセッションIDは無効なので、
> セッションが途切れてしまうと思うのですが、どう対応すればいいのでしょうか？

携帯のキャリアによってはページを「ブックマーク不可」にできますが、そうで
ないときなどにセションが途切れた場合、ログインのページに戻ればいいと思い
ます。