[PHP-users 33988] Re: クッキーを受け付けないUserAgent（日本のケータイに限らず）に対してもセッション管理しつつセッションハイジャックを防ぎたい

[D]

ご回答ありがとうございます。

KOSAKI さんは書きました:
> こんにちは、こさきです。
>
>   
>> 表題の通りなのですが、クッキーを受け付けないUserAgent（日本のケータイに
>> 限らず）に対しても、
>> セッション管理しつつセッションハイジャックを防ぎたい
>> と思っています。
>>
>>
>> （１）（日本の）ケータイの場合：
>> 調べたところ、
>> クッキーを受け取らないUserAgentが多く、
>> その場合、端末固有ID（ただし、imodeの場合は、iモードID。「utn」だと毎回
>> ダイアログが出てしまう）と
>> IPアドレス制限によって防ぐのが常套手段だけど、
>> クッキーを受け取るUserAgentもあるようです。
>>     
>
> この件に関しては、以下の記事が参考になるかもしれません。
>
> 「■ 無責任なキャリア様に群がるIDクレクレ乞食
> 　 ―― 退化してゆく日本のWeb開発者」
> http://takagi-hiromitsu.jp/diary/20080727.html#p01
>   
あらら・・・という感じで、開いた口がふさがりません。
IPアドレスも信用できないんですね・・・。
みなさん、どうしてらっしゃるのだろう。。。

>> ●セッションハイジャックされていないとわかった時点で、
>> 　session_regenerate_id(TRUE);
>> するのが常套手段だとは思いますが、
>>     
>
> これは質問なのですが、「ハイジャックされていない」とどうやって判断するの
> でしょうか。
>   

http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html#PHP_Session_Hijacking

のfingerprintをつくる際に、
imode,Y!ケータイ,auの固有端末IDつきのHTTPヘッダをくっつけて・・・
と考えていました。
>> セッションID付きのURLをブックマークされた場合、
>> そのブックマークからアクセスした場合、そのURL中のセッションIDは無効なので、
>> セッションが途切れてしまうと思うのですが、どう対応すればいいのでしょうか？
>>     
>
> 携帯のキャリアによってはページを「ブックマーク不可」にできますが、そうで
> ないときなどにセションが途切れた場合、ログインのページに戻ればいいと思い
> ます。
>   
そうですね・・・といいたいところですが、事情が変わりまして、
ログインの前にもセッション管理したい・・・ということになりまして・・・。

これってやっぱり無理でしょうか・・・？

よろしくお願いいたします。

ありがとうございました。

> _______________________________________________
> PHP-users mailing list  PHP-users ＠ php.gr.jp
> http://ml.php.gr.jp/mailman/listinfo/php-users
> PHP初心者のためのページ - 質問する前にはこちらをお読みください
> http://oldwww.php.gr.jp/php/novice.php3
>
>