[PHP-users 33990] Re: クッキーを受け付けないUserAgent（日本のケータイに限らず）に対してもセッション管理しつつセッションハイジャックを防ぎたい

[M.Nagai]

ナガイです。

今回もわかる範囲で頑張ります。

> これ、一瞬考えたのですが、結構難しいですよね・・・。
> ●単にそれだけだと、クッキーが無効なUaserAgentに対して無限ループしてしまう。
> ⇒（１）「isredirected=1」がURLに含まれていなければ、クッキーをセット
> （２）リダイレクト。そのときに、isredirected=1をつける
> （正確には、元のURLに「?」が含まれてる場合には、「?」のあとに
> 「isredireted=1&」をつけ、
> 含まれていない場合は「?isredirected=1」をつける。
> あるいはPATH_INFOにつける。）
> （３）UserAgentがクッキーが送ってきたなら、クッキーをうけつけると判
> 定。そうでなければ受け付けないと判定
> とすれば、できそうですが・・・。

そうですね、毎回チェックをしようとすると複雑になるので
どこか一箇所でチェックし、その後はセッションに値を保存して判断するとか。

IPアドレスとかはキャリア側が責任持ってくれないのが現状みたいなので、
しょうがないですね。
公式サイトだと、また違うのかもしれませんけど。

2008/08/19 14:27 D <fj.groups ＠ gmail.com>:
> 質問者のだいすけです。
>
> ご回答ありがとうございます。
>
> M.Nagai さんは書きました:
>>> ●UserAgentがクッキーを受け取るか否かの判断方法が分かりません。
>>>
>> クッキーに値をセットしてリダイレクトで有効かどうかチェックというのでは？
>>
> これ、一瞬考えたのですが、結構難しいですよね・・・。
> ●単にそれだけだと、クッキーが無効なUaserAgentに対して無限ループしてしまう。
> ⇒（１）「isredirected=1」がURLに含まれていなければ、クッキーをセット
> （２）リダイレクト。そのときに、isredirected=1をつける
> （正確には、元のURLに「?」が含まれてる場合には、「?」のあとに
> 「isredireted=1&」をつけ、
> 含まれていない場合は「?isredirected=1」をつける。
> あるいはPATH_INFOにつける。）
> （３）UserAgentがクッキーが送ってきたなら、クッキーをうけつけると判
> 定。そうでなければ受け付けないと判定
>
> とすれば、できそうですが・・・。
>
> ●でも、そうすると・・・postメソッドの場合はどうする？
>
> という問題が・・・。
>
>
>>> セッションID付きのURLをブックマークされた場合、
>>> そのブックマークからアクセスした場合、そのURL中のセッションIDは無効なので、
>>> セッションが途切れてしまうと思うのですが、どう対応すればいいのでしょうか？
>>>
>> それはセキュリティとのトレードオフだと思いますが・・・
>>
> そうですね。おっしゃるとおりです。
>> あと
>>
>>> Internet Explorer が 2 文字のドメインに対して Cookie を設定しない
>>> （Internet Explorer 6 で、2 文字のドメインに対して SetCookie 関数が機能
>>> しません。 ）
>>> というものがありまして。。。
>>> これに対応したいと思っています。
>>>
>> 僕なら、ドメインに特にこだわりが無ければ、ドメインを新規取得しますけどねえ。
>>
>>
> 実はSEOとの絡みがありまして・・・。SEO（というかGoogleの場合）は、
> ドメインの古さを重要視するんですよね・・・。
> で、２桁ドメインでお察しの通り、かなり古く、１０年くらいこのドメインを
> 使っています。
> なのでどうしてもこのドメインで・・・と。
>
> ともあれ、ありがとうございました。
>
> _______________________________________________
> PHP-users mailing list  PHP-users ＠ php.gr.jp
> http://ml.php.gr.jp/mailman/listinfo/php-users
> PHP初心者のためのページ - 質問する前にはこちらをお読みください
> http://oldwww.php.gr.jp/php/novice.php3
>



-- 
M.Nagai