【PHP】セッションについて語ろう!【PHP】
ブラウザを閉じることでクッキーを消しているからなのですね。。
知らなかったよーーーーうわーーーん
IPをキーにして
普通につくれるじゃん。。
と思ったんんだけどどうう?
1、スレ建て宣言…………1
2、開会の辞………………1
3、煽 り………………住人有志
4、逝ってよし……………1
5、御前もな………………住人有志
6、決意表明………………1
7、祝電披露………………1の家臣
8、来賓挨拶………………1の母親
9、来賓挨拶………………1の主治医
10、余興……………………もな踊り保存会
11、余興……………………1騙り太夫
12、送辞……………………大検
13、答辞……………………1
14、板歌斉唱………………全員
15、閉会の辞………………スレッドストッパー
16、終了宣言………………ひろゆき(削除忍代読)
世の中の全端末にグローバルIPアドレスを付与出来るようになったのなら、それでも良いんだろうけどな。
NATやNAPT、プロキシサーバなんてもんが存在してしまうわけだ。
それって何か問題ある?
変わらなければ問題はない。
けれども変わるから完全ではない。
でも用途によれば、問題なく利用できるよね。
使う目的によって、価値も変わってくるということだ。
誰かおしえてちょんまげ
問題はその逆。
同じアドレスで複数の人がアクセスする可能性
同じクライアントで別人がアクセスする可能性
これがあるから、そのままでは使えない
セッションと同じ機能をまるごとつくれるんじゃないか?
同じクライアントで別人がアクセスする可能性
セッションでもそれが言える罠。
いやだから、ログアウトやブラウザ閉じたら無効にする機能が必要
クッキーの有効期限を0にしたら同じじゃないの?
アホか。
PHP マニュアル:セッション処理関数(session)
http://php.planetmirror.com/manual/ja/ref.session.php
クッキー仕様書日本語訳
http://www.futomi.com/lecture/cookie/specification.html
の回避策にsession使ってるけど邪道?
素直にDBの主キーと比較するとかもあると思うけど、それほど邪道でもないかと。
複数ページでのつながりを確保するのが目的だからな。
sessionでチェックという以前に、
遷移先画面にリダイレクトさせて、戻れなくするのが基本じゃないのかなぁ??
エラーが出たとき入力内容が一切合切消えるのは非常に迷惑。
言ってる意味がよくわからん
それって、クライアント側のバッファ利用の問題で、二重投稿処理とは関係ない
ところのほうが好感が持てますね
Yahooドメインかどうかを判断して不正ができないようにしているみたいですが、これってクラックの危険性はありますか?
大丈夫そうだったらウチのサイトでも導入しようかと考えてます。
対策はされている。
php.ini
>>2から10個ぐらいの書き込み見ると、完全にネタスレだと思ったけど、
その後、ベタっぽい低空飛行で展開されているようなので、俺も判断に苦
しんでる。
などは、典型だが、良い子は、まねしないでね。晒し上げ。
------------------------------------------------------------------------------
セッションとセキュリティ
外部リンク: Session fixation
セッションモジュールは、セッションに保存した情報を見ることができるのが
そのセッションを作成したユーザーだけであることを保証することができません。
セッションの完全性を積極的に守るには、そのセッションに 紐づく値に応じた追加措置が必要です。
セッションに運ばれるデータの重要性を評価し、必要な保護策を講じて下さい。
これには通常、お金があかり、ユーザの利便性を損なうことになります。例えば、簡単な
社会工学的な策略からユーザを守るためには、 session.use_only_cookiesを有効にして下さい。
この場合、ユーザ側でクッキーは無条件に有効となっている必要があり ます。そうでない場合、
セッションは動作しません。
存在するセッションIDが第三者に洩れる手順は何種類かあります。
洩れたセッションIDにより、第三者が特定のIDに関連する全てのリソースにアクセスできるように
なります。まず、セッションIDがURLにより伝 送される場合です。外部サイトにリンクを張っている場合、
外部サイト のreferrerログにセッションIDを含むURLが保存される可能性があります。
第二に、よりアクティブな攻撃者がネットワークのトラフィックをモニターしている可能性があります。
セッションIDが暗号化されていない場合、セッションIDはネットワーク上を平文テキストで伝送されます。
解決策はサーバ上にSSLを実装し、確実にユーザに適用することです。
-------------------------------------------------------------------------------
で?
そんな分かりきった事をのっけて何が言いたいの??
初心者には分かりきったことではないんでしょう。
なぜつっかかるのかわからん。
ttp://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.html
・セッションハイジャック
・Session Fixation攻撃
キャッシュを public にすると、そのままブラウザ閉じても、そのURLを開けばまた
情報が出てくるからじゃないの?
>>28は戻るボタンを用意して、内容を復元する配慮をしてくれと
言ってるので、ブラウザの戻るでのキャッシュを使えとは言ってない
クラックの危険があるから通常は対策していると言ってるので
指摘される理由がわからんな
ちなみに、J-PHONE J-SH05ではダメみたいです。
セッションの仕組み一度自分で作ってみたらどう?と思ったよ
書いて普通にうまくいってたのですが、idを毎回変えたくて
ttp://www.asahi-net.or.jp/~wv7y-kmr/note/2003-09.html#YMD20030907_PHP
を参考に、疑似 session_regenerate_id()を作りました。
function session_switching() {
$qq = serialize($HTTP_SESSION_VARS);
if (!session_destroy()) {
session_id(md5(uniqid(rand(), 1)));
session_start();
$HTTP_SESSION_VARS = unserialize($qq);
return true;
} else {
return false;
}
}
んで、
session_start();
$noerr = session_switching();
ってやってみたんですが、関数の中のsession_start()で
「Fatal error: Failed to initialize session module」が出てしまいます。
destroy()したあとすぐにstart()するときに何か特別に注意することってあるんですか?
DB関連とsession_set_save_handlerはここをヒントにしました。
http://itbtech.itboost.co.jp/php/php_12.php
DBじゃなく、普通のファイル管理ではうまく動きました。
環境は、RedHat8.0, PHP-4.2.2, MySQL-3.23.56です。
if (!session_destroy()) {
↓
if (session_destroy()) {
実際の所さCOOKIE無効のクライアントでも同一か認識できるから
俺はCOOKIEへの保存をセッションに保存してるわけだが
邪 道 か な ?
使い方があまりにも簡単すぎて($_SESSIONとクッキー使った場合)
こっちは身構えてるので、逆に解説とかがわかりにくかった(藁
確かにセッション使うのは楽だけど、
動作原理はしっかり理解する必要があるよ。
様々な解説書サイトなどはそういう意図で、原理を説明されてるんだとは思います。
なんか、「どう使うか!!!」がなかなかわからなかったんですよ(藁
セッションが機能するのに何ページ必要かとか悩んだ悩んだ。
a.html フォーム
|
b.php session_start(); $_SESSION['data']='a';
|
c.php sessin_start(); $data = $_SESSION['data'];
自分がやってることが、全然見当外れなのではないかと思ったりも。
もしかしたら、そうなのかもしれない。
一応自分の思ったとおりに動作しているし、人にチェックしてもらっても
ちゃんと動作していると彼は言う…。
>>57
使い方だけで、まだ原理とかあやふやなので
ちゃんと勉強してみようと思います。
どうやってクライアントを認識しているのか教えてほしいage
カートに商品が入らないという問い合わせが、頻繁ではないがどうしても尽きない。
結局、クライアント側の設定に依存するし、やはり客に色々設定を強いるのはどうかと思う。
次やるとしたらamazonのようにURLに渡して管理したいけど、カート以前のページは
よほど商品数が多くない限り、一般的に静的に作りますよね?
そこで、URLでセッション管理したいがために、静的HTMLで済むものを、全部PHPで動的に
出力するのは馬鹿げた考えでしょうか?
いいんじゃない?
URLにセッションIDとか渡すのって普通だと思う。
PHPでも同じようなことしてるひといるでしょう。
とすると、<input name="msg">に入力された文字列が
/tmpのセッションファイルに書き込まれると思いますが、
保存されるときの文字コードはブラウザから送られてくる
文字コードのままなんでしょうか?
1行目の方法で保存したものを、echo $_SESSION['msgs'];
で出力しても日本語部分が表示されません。
よろしくお願いします。
ブラウザはIEで、サーバー側はこうなってます。
mbstring.internal_encoding = EUC-JP
mbstring.http_output = SJIS
/tmpにある今回のセッションファイル : SJIS
Amazonのように作るならOKじゃないの。
あれのカートは「誰の」という情報とは結びつかないようにしてあって、
会計の段階で「誰の」に結びつけるようにしてる。
# cookieが使える場合には、名無しさんAのカートのように、名無しさんも
# 区別して結びつけるけど。cookieに保存したセッションIDを使って。
その辺の個人情報や決済部分と切り離して設計できてれば
カート情報なんて商品リストの中から商品を選んだだけの存在だからね。
普通に使えますよ、カート機能自体はSIDがURLに付加されてますし。
cookieが使える場合はその他の機能がプラスされたり、
カート機能の照合補正が行われたり。結構上手く出来てると思います。
気にならない(気づかない)というところも上手いところ。
戻るボタンで戻ったら有効期限切れってなるのは
どう言う解決法があるのですか?
昔から、通販業者系はサーバサイドのセッション管理が標準だね。
私にお任せあれ!!!!!
session.cookie_lifetime integer
session.cookie_lifetimeは、ブラウザに送信す るクッキーの有効期間を秒単位で指定します。値0は、"ブラウザを閉じ るまで"を意味します。デフォルトは、0です。 session_get_cookie_params()および session_set_cookie_params()も参照して下さい。
ini_set( 'session.cookie_lifetime' ,’3600’ );と記述しました。
書き方がおかしいでしょうか?
この書き方では、設定変更は出来ないようです。
Local Valueは3600に変わるのですが、Master Valueは0になっております。
Master Valueも3600には変わらないのでしょうか?
ini_setを使えばソースから書きかえられると思うのですが。
こっちのスレの方が相応しいけど、マルチポストいくないっ
一言添えればよかったですね。
ちょっとこちらで質問させてください。
76の内容については向こうで既にレスが付いているが?
Local Valueではなく、Master Valueでないと駄目という理由が判らん。
値の優先度はLocal(高)、Master(低)。ディレクトリごと指定したいのなら、
Apacheの場合だと.htaccessを利用すれば良かろ
記述して、セッションIDが追加されなくはなります。
しかし、// ini_set( 'session.cookie_lifetime' ,’3600’ );と
記述して設定をやめて、アップしても
セッションIDが作られないんです。
セッションが不安定にならない?
漏れの鯖は三日くらいでセッションがプチプチ切れるようになる。
apacheを再起動すると治るけど、
コレってPHPの設定がおかしいからかな?
PHP のバージョンと OS は何?
Linux で PHP 4.2.x を使っていた頃に同じ状態で苦労したことがあるけど。
Apache の error.log に Segmentation Fault とかのログが残ってる?
child pid ***** exit signal Segmentation Fault
ログにはこんなもんがいくつか残ってました
OSはRedhatLinuxでapache1.3.27、PHP4.3.2です
なんか分かりますか?
php.ini のセッションの設定で、
session.save_handler
に files 以外を指定している場合は安定しないかもしれない。
でも、PHP 4.3.2 だと、
bug #24592 (NULL related crash in session extension)
bug #22154 (Possible crash when memory_limit is reached and output buffering in addition to session.use_trans_sid is used)
の可能性の方が高そう。PHP 4.3.3 で修正されているみたいなので
バージョンアップしたらセッション周りは安定するかもしれない。
今なら、PHP 4.3.4 かな。もうすぐ PHP 4.3.5 が出そうだけど。
まあ、クリティカルなシステムをバージョンアップするなら、
十分にテストしてからにした方がいいと思う。
どうもです
ああ、やっぱバージョンのせいなんですかね
セッション機能にはmmを利用しているんですが、
どうせ処理速度には大差がないだろうし、filesを検討します
そのうちPHP5が出てきそうですが、
焦って飛びつくのは危険そうですね
PHP 4.2.x の頃に、パフォーマンス的に有利ということだったので、
session.save_handler = mm
にしていたことがあったけど、>>81 とほぼ同じ症状になった。
原因が分からず、随分悩んだ後、files に戻したところ、安定するようになった。
PHP 4.3.0 以降では確認していなかったけど、修正はされていないのかな。
特に処理速度にも問題ないし、とりあえず大丈夫
まあ今後>>81の症状がでるかどうかまだ分かりませんが・・・
でもコレはPHP4.3.2の問題じゃないかもしれませんね
apacheもlogrotateの時にサービスが落ちたりしますから
今じゃ毎朝cronでapacheを再起動してます(苦笑)
apacheがちょくちょく落ちるのってかなりやばいよなあ(汗)
OSのレベルからアップグレードを考えるいい機会かもしれない
その状態だと、PHP の方が問題の可能性が高いと思う。
当時は、3日から 1週間にに一度再起動していたし、
apachectl で restart すると Apache が落ちてしまって、
apachectl start しないと起動しない状態になっていたので。
files に変更してからは、Apache が落ちることもなくなったので、
同じ問題だとすると、安定するかもしれないので、しばらく様子を
見てもいいかもしれない。
セキュリティ問題のこともあるので、簡単にバージョンアップできる
のであれば、バージョンアップした方がいいと思うけど。
mm ってなんですか?
当方セッション情報を MySQL に入れるハンドら作って動かそうとしているのですが、
既存のがあるんなら使っちゃおっかな〜
maji mukatsuku
セッションの保存用の共有メモリ。
ttp://jp.php.net/session
mm を使うと不安定になるという話をしていたのだが、PHP の最新版では
修正されている可能性もあるので使いたいのならどうぞ。
mm をインストール(既にインストールされている Linux ディストリビューションもある)して、
ttp://www.ossp.org/pkg/lib/mm/
PHP の configure で --with-mm を指定してコンパイルする。
php.ini で
session.save_handler = mm
に変更して Apache を起動。
どれどれ・・ふむふむ・・
なーんだ、mmってモジュールの名前なのね・・
こっちか・・ http://www.ossp.org/pkg/lib/mm/
UNIXで動くのね・・どれどれ
#whereis mm
mm: /usr/ports/devel/mm
をを、Portsに入ってるジャン
んでも、こいつの動作検証せなあかんのか〜めんどくさっ
以上5分で却下しますた。ごめん。
こんなんが出てくるんですけど・・・
Warning: session_start(): Cannot send session cookie - headers already sent by
(output started at c:\program files\apache group\apache\htdocs\session\
session_test_1.php:2) in c:\program files\apache group\apache\htdocs\session\
session_test_1.php on line 3
session();の行でエラーなんだそうです。
/tmpのフォルダもCドライブに作りますたがダメです。
なんででしょうか?
すんません!いきなり判明しました・・・
1行目を空白にしていたのが原因でした。
1: ←空白行にしていた
2:<?
3:session_start();
4:$_SESSION['register'] = 0;
5:
6:?>
1:<?
2:session_start();
3:$_SESSION['register'] = 0;
4:
5:?>
にしただけで治りました・・・
お騒がせしてすんません。
PHPのSIDもOFFにしているのに・・・
なぜ?
・・・と書き込もうとしたら2chに書き込めないw
なぜ掲示板でクッキー必須なんだ?
見逃してるだけだよ。
セッションが使えているなら、cookieかURIパラメータの中に必ず埋め込まれている。
勘違いしてるだけだな。
コンテンツの中に埋め込む場合もあるけどね。
<?php
echo $_SESSION["name"];
?>
とかでセッション情報をページに表示させるようにしてるから
URIパラメータもないし・・・
クッキーがコッソリ動いてるのか?とも思ったが、
2chに書き込みが出来なかったので、それも考えにくい・・・
自分のサイトだけクッキーが有効になってたのか?分からん・・・
IEでプライバシーポリシーうんにゃらで2chからのクッキー食べてくれないとか・・
「すべてのCookieをブロック」にしたのよ
ふつうコレでCookie機能は無効になるっしょ?
www
なんやねんな
IEだけで動作チェックするのは間違い。
んでも、Mozilla使った方が開発はしやすいぽ
ちゃうちゃう。
最終的なユーザのことを考えた場合のチェックとしてはIEは外せないけど、
デバッグには向かないから使うなってこと。JavaScript系は特にデバッグしにくい。
但しJavaScriptの挙動はIEとMozillaは違うので、そこは留意しないと駄目。
XMLのチェックの部分では、IEの方が出来がいいと思う。
XMLはIEの方が良い!
Mozillaのデバックコンソールってもう一声どうにかならんかなぁ
あとあと、CSSで幅の定義を1どっとずれて描画するのもどーにかならんかなぁ
はうっ!セッション関係無いし
セッションとは、 フラグである・・・
ようやく気が付いた。
セッションなんて言うからよく分からないんだよな。
「ページを超えて持ち運ばれるフラグ」って言えば分かり易いね。
<環境>
サーバA:192.168.11.1 WinXP-Apache1.3.29+PHP4.3.4
サーバB:192.168.11.2 同上
やりたいことは、
@サーバAのLOGIN.PHPでログイン(=>LOGINFLG=ONを$_SESSIONに設定する)
AサーバBのxxxx.php($_SESSION[LOGINFLG」を見る)にアクセスする
->xxxx.phpが、$_SESSION[LOGINFLG」=ONを見て、PHPの参照許可を出す
という、セッション情報をサーバ間で持ち回るということをしたいんです。
条件として、
・セッションクッキーを使わない。
・Windows上(=mmが使えない)ということで、session.save_handler = filesを使う。
という状況なんですが、どうやれば、セッション情報の共有はできるんでしょうか・・
お教えください。。。
セッションという機能がどういう風に実現されてるか、
またはどういう風にすれば実現出来るか考えてみれ
PHPのセッション機能は複数サーバ間で持ち越しすることは想定されていない(はず)なので、
書いてるようなことを実現したいなら、自分でセッション周りを作って、
セッション管理用のサーバを一つ用意すればいい。
が、そんなややこしいことするよりも、もっとスマートな解決法があると思うぞ。
根本的なとこから見直した方がいいと思う。
DBは使わないの?
方法によっては簡単に出来るのに。
#勘違いっぽいのでsageておこう・・
perlでもできるよね。登録パスワードをフォームに混ぜちゃえばいいわけだし。
でもリファラー吐くブラウザだと他のサーバー行ったときにパスワードが入っているとまずいのか??
だから一時的な物を生成するの?
セッションはサーバーサイドでデータを保持するのが最大の特徴
「クッキーの逆のもの」と考えてもいいかも
クッキーもセッションも「ページを超えて持ち運ばれるフラグ」には違いないが、
そのデータそのものをどちらに保持するかが違う
クッキーはクライアントで保存し、データそのものを含む
だけどセッションの場合にはデータを保持するのはサーバー側で
クライアント側ではデータそのものは保持しない
(代わりにクライアントを識別するためのセッションIDを保持する必要はあるが)
POSTでhidden使って渡すのも、さらにGETでURI渡しするのも、
ページを超えて運ばれるフラグには違いないけど、これらも結局は
クライアント(ブラウザ)でデータを所持しているんだよね
何かまとまってないぞ(笑)
要するに毎回データそのものをクッキーなりHIDDENフィールドなりで
運ぶという方法と
そうではなく、識別情報だけをクライアントとサーバー間で往復させて、
サーバー側にハッシュテーブルのようなものでデータを預けて置くという方法
の2つがある。
ぶっちゃけそれだけ。
書いているうちに訳分かんなくなっちゃったw
最初の1行だけで済ませばよかったかな
サーバ側で生成したサーバ側でしか利用しない値は、
わざわざhiddenで引き回したりしない。つか、してはいけない。
セキュリティホールにもなりうるし。
そういう用途のために(サーバ側の) session を利用するという理由もある。
情報の分離(隠蔽)だな。
$b=array(1,2,3);
$session_a[b]=$b;
として
session_start();
unset($session_a);
しても$session_a[b]が消えてなかったんだが、バグですか?
PHP Version 4.3.3です。
session_unregisterの注意を読むと、
unsetではフォーカス内の変数のみを消去して、
セッション内の登録は継続されるようだから、
セッションを再開した時にセッション内の登録変数を読み出し直すだけでは?
つまりそのunsetは現在の$session_aを削除するだけで、
$_SESSION['session_a']は削除しないんではないかと。
つーか、
$session_a['b']=$b;
って書くべきだし(typo?)、
session_(un)registerは非推奨
バージョンとか微妙なところで制限事項があるのかな?
変数として保持しながらページを作成していくと、javascriptの
history.back()を使用してページを戻るときに「有効期限切れ」と
なってしまいます。
フォーム入力確認で戻る必要があるのですが、どういった方法で
会員制にするのがよいのでしょうか?
history.backで戻ってセッション切れちゃうのは仕方ないね。
戻り先のページが別ページなら普通にリンク貼ればOKだと思うけど。。
セッション(゚听)イラネ
それでカッコイイと思ってんのか?キモイ奴だな。
php使ってんならJS使わなくてもリファラからファイル(スクリプト)名と
必要ならクエリだけ取り出してリンクさせたらセッションも生きたままで
可変式のBACKボタンが生成できるだろ?
もっとも同一ドメイン内での話だけどな。
亀レスだけど、目から鱗。今日悩んでいたことが氷解した。
解説書に書いてあることが間違ってたよヽ(`Д´)ノ
とにかく、一言言わせてくれ。どうもありがとう。
セッションハイジャックの危険性は常につきまとうと思うのだが、
PCサイトならばcookieにsidを食わせて、sidの確認が必要なページのみsslで通信すれば
良いと思うが、携帯サイト等でsidをURLに引き連れまわす必要がある場合
全ページsslで通信という形にするしかないと思うのだが、どうしてる?
セッションに接続元のIPを記録しておいて
if ($_SESSON['ip'] != $_SERVER['REMOTE_ADDR']) {
die 'あぼーん';
}
携帯サイトでクライアントをIPで判断できないでしょ?
キャリア側のプロキシのIPだらけになるのでは?
PCサイトの場合でもIPでの判断だと、NATの内側のクライアントは一纏めにしちゃうの?
PCの場合はCookieオンリー前提で書いてました。説明不足すんません。
携帯は端末とプロキシのIPは一対一対応だと思ってたんだけど、もしかして違います?
(IPアドレス自体はセッションごとに変わりますが)
だったらこの方法は使えませんね。う〜ん。
現行の3G携帯(というか、そのサーバー)はFOMAを除いてCookieに対応してますが
シェア最大のドコモがこれでは将来的にも難しいですね・・・。
個人情報など、重要なデータをセッションで使うときは最初から最後までSSLで通信して、
漏れてもあまり困らないデータは普通にセッションを使うしかないのかな。
Amazonなんかはそうなってるみたいですね。
まず前提からして間違ってる。
>PCサイトならばcookieにsidを食わせて、sidの確認が必要なページのみsslで通信すれば
>良いと思うが
良くない、cookie値はglobal変数「$_REQUEST」として常にサーバへ渡っている。
したがって、cookieに設定したセッションIDを必要とする時のみSSL通信下で行っても、
それ以外のページではsidは平文でネットワークを流れる事になる。
もしくはhttp用のcookieとhttps用のcookieの二つを発行しろと言ってるね。
ttp://securit.gtrc.aist.go.jp/research/paper/AIST03-J00017/csec200307-takagi-slide-sp1.pdf
ことネットワーク絡みの話に関しては、お上とその周辺が出してる情報は
とても役に立つよ。
セキュリティ的にはどうなんだろう?
レン鯖でもセーフモードかCGI+suEXECでsession.save_pathを適切に設定してれば大丈夫。
ちなみにメモリやデータベースにセッションを保存するようにもできる。
ttp://jp.php.net/manual/ja/function.session-set-save-handler.php
個人情報を扱うようなときはセッションを使うドメイン全体をSSLで保護するか
$_SESSIONを使う代わりにIDの発行からデータの出し入れまで全部を独自に管理しないといけない。
>ただ、PHPはセッションIDにcookieを使う際にsecure属性をつけられないので
PHP 4.0.4 以上だったら付けられる。
php.ini で
session.cookie_secure = 1
とするか、
ttp://jp2.php.net/manual/ja/ref.session.php#ini.session.cookie-secure
session_set_cookie_params()
で設定。
ttp://jp2.php.net/session-set-cookie-params
setcookieの最後の引数で指定でもいい?
この場合setするcookieのkeyによってセキュア属性のあるなしになるのかな?
setcookie() だと最後の引数で指定すれば個別に secure フラグありとなしで
複数の Cookie を設定できる。例えば、以下のような感じで。
setcookie('secure_on', 'test1', NULL, '/', NULL, 1);
setcookie('secure_off', 'test2', NULL, '/', NULL, 0);
正しく Cookie を処理できるブラウザだったら secure_on の方の Cookie は、
https 接続の時にしか送信されない。
>もしくはhttp用のcookieとhttps用のcookieの二つを発行しろと言ってるね。
に関してはsetcookieの引数で分けるのが良さげかな。
うーん、携帯サイトでhttp://〜〜のショッピングサイトってかなりあるんかね。
気にしだすと怖いな。
GETのSIDをhttpとhttpsで切り替えるとか?イメージわかん…
MySQL使ってるんですが、
必要最小限の変数だけ session_register して
そのつどMySQLからデータひっぱってくるのと、
MySQLのデータ全て session_register しておくのでは
どっちがよかとですか?
ヒロシです
データの内容とアクセス頻度(規模)などによって一概にどっちが良いかは言えないし、
「良い」の基準が決まっていないとレスのしようもないんじゃない?
例)
・作成時に楽なら良い
・サーバー負荷を考えると良い
・セキュリティ的に安全だから良い
などなどなどなどなど・・・。
セッションの前に他のことを勉強しろよ。斬り。
きれいに返されました。
セキュリティ・負荷面を重視しています。
よろしこです。
ヒロシです
使用人数は10人です。
OSは基本的にwindowsでバージョンはXPや98など様々です。
ページの更新などをする際に5分くらいでセッションが切れます。
ほぼ10人ともその状態です。
セッションが頻繁に切れる原因とかってありますか?
漠然とした質問で申し訳ないでつ。。
これが参考になるんじゃないかな
http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html#PHP_Session_GC
ページ移動するたびにDBにアクセスしてCookieと照合してます?
DBへ登録して使っている人って結構いる?
それともメモリー的にとか、DB容量的にとか、処理的に冗長だとかで、むしろ無駄?
返ってくるセッションクッキーをどうにかしてブラウザに食わせたいと思ってます。
firefoxのクッキーファイルに書き込むだけではだめでした。
expires付のクッキーはうまくいくのですが…
これを解決する手段はないものでしょうか?
Perlかどうかはどうでもよく、セッションクッキーの話なのでこちらに書き込みました。
もしもっと適切なスレがあれば是非教えてください。
どうも混乱しているようにしか見えないのだが…
HTTPクライアント作ってるって時点で「板違い」
セッションクッキーってのも意味わかんないし、
まずはセッションは何たるか、クッキーは何たるかを理解してから出直してね。
もしくは169の認識してる「セッションクッキー」と「クッキー」の違いを言ってみ。
確かに「セッションクッキー」はセッションと言うにはアレかも知れんが、
簡易なセッションを実現するものではあるし、
なにより、みんな「セッションクッキー」って呼んでるじゃん。
で、普通、「セッションクッキー」に対して、単に「クッキー」って呼ぶのは、
「パーマネントクッキー(169曰く、expires付のクッキー)」でしょ。
セッションクッキーで通じるから別にいいけど
確かに用語の使い方がいろいろ不明な点があって
日本語として文が構築されてない
セッションIDだけで管理してる?
セッションIDだけだと怖いので
ログインIDと暗号化したパスワードも
セキュアクッキーに書いて
毎回DBと比較してる。
これってやばい?
やばくはないと思うが
それじゃセッションIDを使う意味があまりなくね?
セッションIDの発行方法にもよるけど
PHPのセッション関数使ってるなら大丈夫じゃないの?
レスありがとうございます
ログイン前の匿名情報(ショッピングカートのようなもの)を
セッションIDで管理、
ログイン後の情報はセッションだとちょっと怖いので
セキュアクッキーでアクセスの度に毎回ログインチェックをしてます。
セッションIDだけで
クライアントを特定するのって
会員制のようなサイトでも普通なんでしょうかね?
個人的な構築法としてはセッションIDとログイン情報を関連付けて
セッションIDきたらログイン情報みて毎回チェックするけど
規模がデカイ or サーバしょぼい 場合は毎回チェックするとレスポンス落ちるから
Yahooみたいに重要な処理のときだけログインチェックみたいな形にしてる
けど173のケースだとログイン前からの情報とも連携するみたいだし
それならセッションIDとcookie使ってても納得できる
毎回ログインチェックするのに越したことはないけど
やっぱりサーバのスペック的な問題でレスポンスが結構影響でてくるから
重要なページ(個人情報変更)とかだけ認証っていう形でもありじゃないかな?
良いセッションの使い方があれば他の人フォロー頼みます。
全く異なるネットワーク&端末からの接続は排除できる。
(NAT環境とか一部のCATV環境からのアクセスはどうしようもないけど)。
で、その上でブラウザバージョンとか「相手から送られてくる情報」を、
『セッション単位のワンタイム情報』として管理すればかなりいけるんでない?
まぁ、金銭扱う場合は「やりすぎ」ってのはないだろうけど、使う側の利便性を
考えればワンタイム情報として上記を扱う(+独自のスパイス)でほぼ安全でしょう。
やっぱりサーバ負荷は一番気になるとこですね。
たいへん参考になりました。
ありがとうございました。
>>177
大企業などアクセスのたびに
毎回IPアドレスが変わる環境もあるから
だめじゃないかな?
> 大企業などアクセスのたびに
> 毎回IPアドレスが変わる環境もあるから
> だめじゃないかな?
そんな場合、HTTPに限らず他のサービスでも認証が絡む奴は
大問題になりそうな希ガス...
気のせい?
IPで認証するの?
そういう仕組みですから
みんなそれを前提につくってるんだよ
今更何を言ってるんだ?
「IPが変わってもサービスを継続する」実装が結構あるんですね。
確かに作っちゃえば可能だなー>セッション管理
ちょっと遊んでみよう(w
FTPとtelnet/SSHはステートレスなプロトコルではないので
セッション管理自体要らんと思う
他の変数は無事なのに、これだけたまに消えるんだけど…
>>178
> >>177
> 大企業などアクセスのたびに
> 毎回IPアドレスが変わる環境もあるから
> だめじゃないかな?
アクセスの度に変わるんだぜ?
Connection張りにきたからってACK返そうにも
すでにIPアドレスが変わっているんだぜ?
って、釣りか....>>178
それじゃインターネットに繋がってるだけで送受信できないし
ACK返す前に変わるとかそんなシステムあるの?
1回セッションした後でIP変わってもう一度セッションしたときに
どうなるかだろ
そもそも接続元IPを使ってどーのこーのって
今の時代に使ってるところないだろ
セッション汁!?
>>186
なんかかみ合ってない。
どういう意見なの?
できればはじめての発言でないなら前のレス番使ってくれ。
その回答は>>178だけが知っている。
「毎回IPアドレスが変わる環境」の“毎回”って何よ?
黙って読め
もしかして
「ダイアルアップする度の間違いだろ」
とか思ってないよね?w
「アクセスの度」っていう「アクセス」の定義が不明なんじゃない?
セッションはその通りだけど、PHPのセッションとはまたちょっと違う気がする。
HTTPセッションが切れても状態を引き継ぐための一例としてPHPセッションが
有るんじゃないの?
セッションが切れてない間は
IPアドレスが変わらないって言いたいの?
なにが言いたいのか
結論を書いてくれないと
話しが終わらないんだけど
さっさと話を終わらせてくれって言いたいの?
ならそう言えよ
逆でしょ?
「IPアドレスが変わっても(サービスのために)セッションを切らない」
為の仕組みが「PHPセッション」な訳ですよ。
つか、「セッション」の定義を表現せねばなるまいね。
IPセッションなのか、HTTPセッションなのか。
激しく同意!
ってかセッションってWEBでのセッションはHTTPセッションで
PHPセッションとかってセッション管理だろ
Perl=CGIみたいな初心者的勘違いだな
けど>>186とかACKが帰ってくる前にIP変わるわけだから
これはセッション自体成り立たない
>>192
それはセッション管理だろ
全くわからん
1人の自演だったらすごいけど
よかった、一人じゃなかったんだ
仲間はずれにしないでくれ
そんな無意味なこと書く前に>>178の後半に突っ込み入れるなり
フォロー入れるなりしてみろよ。出来なきゃすっこんでろ。
>>205==>>178
ここでいいんですか?
それともDBハンドラ書いてます?
漏れはDBハンドラ使ってるけど。
バランシングしている複数のwebサーバでセッションを共有したいので
セッション情報はバックエンドのDBに入れてDBハンドラ使いまくりです。
物理的にバックエンドDBサーバと同じところにあるので
DBで共有しても良いのだが。特に意味は無いがファイルで。
なにか間違ってる?
>183 とか >186 とかで訳分からん事言ってから話がおかしくなったみたいねえ。
漏れと用途が一緒だ。。
>>212
一度NFSでと考えたけど、オーバーヘッドでかくないですか?
DBハンドラでも大してかわらんかも。。。
ベンチはかってないから分からないけど。。
マニュアルを見てください。
新手の自演?
掲示板とか書き込むの初めてなので失礼なことをしてしました。
今、授業でPostgreSQLとPHPを用いてでセッション管理と
ユーザ認証をするプログラムを書かなければならなくて本から
ユーザ認証のプログラムをパクッたんですが、変更しなければ
ならない箇所があるらしく、さっぱり分かりません。
ログイン後の画面のURLを直接入力してもログインしていない状態
ではエラーがでて、そこにとべないようにようにするには
プログラムに何て書けばよいのでしょうか?
理解度が足りず、意味が通じないような質問になってすみません。
パクった本をまずはよく読むこと。
"課題"なんだから、意味判らんままにコードを流用すんな。
つか、見るのはどんな先生かしらんが、
PHPぐらいなら出版物の量も少ないので
コードのパクりかたが、あからさまだとばれるよ。
めんどくさくて書籍のサンプル丸写ししたんだが、先生にばれた。
しかし、先生が机に叩き付けた本は出版社も著者も全然違う人だった。
うーん。
かといって別の本や資料を全然参考にもしてない記述は、
アレ?と思うような変な(適正とは言いがたい)内容のものも、ちらほら
そう言うのは変数名くらい変えとかないと。
あと、インデント幅とかカッコの付け方とか
コメントを適当に付けたりして誤魔化すと完璧。
まともな回答一つもないし。
結局そんなもんか。
これほど簡単な言語はない。arrayの取り扱いを
始めたみたときは正直チンポの先から汁がちょっと出た。ちょっとだけね
phpとセッション管理でできるのかな?
需要は充分すぎる程あると思うんだけど…
そんなケツの穴の小さいこと考えてんのお前だけだよ(ガハハ
topページなんか見たくないんです
救えない阿呆
>>3書いたのオレだ。懐かすぃ
プッ
URLにクエリ文字列を埋め込む方法等とどのように使い分ければいい?
POST・GETの話じゃなくて、セッション使用とページ毎に全データ渡しの話の希ガス
オイラは特に使い分けはしてない。その時の気分次第
セッション切れてたらTOPページにリダイレクトするとかで良いんじゃね?
ものはhiddenやクエリーで持ち、ログインIDやパスワードのような
ずっと持ちまわすようなものはセッションというような使い分けかな?
と自己レス。
魚河岸で。
PHPはマニュアルが充実してるんで、殆どそれ見ながら覚えたヨ!
貴様の息子/娘が知的障害児で産まれるように強く願ってます
「PHPできます」って面接で言っちゃって大丈夫。
俺はそうした。余裕でしょこんな雑魚言語。
つうてもJava5年とか書かれてるスキルシートも全然あてにはならんが。
wラタ
よっぽど酷い会社なんだな
正直プログラマとしてのセンスを疑うね。
そんなんで企業に入れるのか
やばくねぇかそこw
ちなみに俺は会社に入ったわけじゃなくて個人事業主として
業務委託されてるだけだけどな。
セッションの話まだー?チンチン
普通に業務をこなせるくらいだろ?
馬鹿かお前?
page2でgreenとcatと時間が表示されるはずですが、
Welcome to page #2
1969 12 31 23:57:00
page 1
しか表示されません。なんででしょう・・・(´・ω・`)
--------------------------------------------
<?php
session_start();
echo 'Welcome to page #1';
$_SESSION['favcolor'] = 'green';
$_SESSION['animal'] = 'cat';
$_SESSION['time'] = time();
// cookieによるセッションが受け入れられていれば動作します
echo '<br /><a href="page2.php">page 2</a>';
// あるいは必要ならセッションIDを付加します
echo '<br /><a href="page2.php?' . SID . '">page 2</a>';
?>
-----------------------------------------------
<?php
session_start();
echo 'Welcome to page #2<br>';
echo $_SESSION['favcolor']; // green
echo $_SESSION['animal']; // cat
echo date('Y m d H:i:s', $_SESSION['time']);
// page1.phpでやったように、ここでSIDを使うことができます。
echo '<br /><a href="page1.php">page 1</a>';
?>
OSとPHPは
Apache/1.3.28 (Win32)
PHP/4.3.10 です。
と出るのは、$_SESSION['time'] がNULLのままだからでしょうね・・・
php.ini では
session.auto_start = Off
session.use_trans_sid = On
なんですが、他に設定するところなどがあるでしょうか?
php.iniで設定したsession.save_pathに
保存されているかを確認してみましょう。
と書いてあるので、例えばsession.save_path = "C:\tmp"だったら事前に
tmpフォルダを作っておかないといけない。
お世話になります。
何故か php.ini で session.save_path = c:\php\sessiondata になってました・・・
(いつの間に???)
いろいろなページを参考にしていじっている内に、こうなってしまった様です。
一応、phpの下にsessiondataを作って動くようになりました。
基本的にはc:\tmpですよね・・・
お手数をお掛けしました。m(_ _)m
早いの?軽いの?
ユーザが増えたときにファイルだとinodeの制限を受けてエラー発生てのもあり得ますから。
だから大規模サイトならDB以外ありえない。
大規模の場合はバランサーはさんだりでめんどいからDBセッション多用する。
そこで、不要になったセッションファイルを削除しようと思います。
で、下記のようにしてみましたが、全然消えません・・・
session_start();
$session_id = session_id();//セッションIDのバックアップ
session_regenerate_id();//セッションID変更
unlink ("c:\\tmp\\sess_".$session_id);//以前のセッションIDのファイルを削除
ちなみに、
unlink("c:\\tmp\\sess_セッション番号の現物")を使うと確かに消えてくれます。
なんなんでしょか?これ?
セッションのタイムアウトくれば勝手に消えていくとは思うんだが。
>>276
まぁ、そうなんですけどねぇ・・・
ファイルがいやならDBセッションでもつかえば?
セッション管理を MySQL + PHP で考えていています。
$_SESSION['hoge'] = $hoge;
とかやった直後は、ハンドラで定義した関数が呼び出されて、
指定したテーブルに $hoge の内容をシリアライズしたような
文字列が格納されているのですが、その後に別の画面へ refresh で
遷移させた後、$_SESSION['hoge'] の値を参照すると何も入っていません。
テーブルを確認すると、直前まで入っていた文字列がブランクになっています。
ちなみに、全ての画面の先頭で session_set_save_handler() と
session_start() を行っています。
これが悪いんでしょうか?
PHP 5.1.0なら自動で削除されるよ。
ユーが定義したセッション保存関数を晒さない限りは何ともいえん。
こんな感じです。
class SessionHandler {
var $db;
function SessionHandler(&$database) {
$this->db =& $database;
}
function open($save_path, $session_id) {
$connectable = $this->db->connect();
$this->db->close();
return $connectable;
}
function close() {
return true;
}
if (empty($session_id)) {
return "";
}
if (!$this->db->connect()) {
return "";
}
$sesid = $this->db->addQuote($session_id);
$sql = sprintf("SELECT sesdata FROM sessions WHERE sesid=%s", $sesid);
$result = $this->db->doQuery($sql);
if (is_object($result)) {
while ($row = $db->fetchAssoc($result)) {
$sesdata = $row["sesdata"];
}
$this->db->close();
return $sesdata;
}
else {
return "";
}
}
if (empty($session_id)) {
return false;
}
if (!$this->db->connect()) {
return false;
}
$sesid = $this->db->addQuote($session_id);
$sesip = $this->db->addQuote($_SERVER["REMOTE_ADDR"]);
$sesdata = $this->db->addQuote($session_data);
$sql = sprintf("SELECT * FROM sessions WHERE sesid=%s", $sesid);
$result = $this->db->doQuery($sql);
if ($this->db->getRowsNum($result) == 0) {
$sql = sprintf("INSERT INTO sessions (sesid, sesip, sesdata, sesupdated) VALUES (%s, %s, %s, %u)", $sesid, $sesip, $sesdata, time());
}
else {
$sql = sprintf("UPDATE sessions SET sesdata=%s, sesupdated=%u WHERE sesid=%s", $sesdata, time(), $sesid);
}
$is_write = $this->db->doQuery($sql);
$this->db->close();
return $is_write;
}
if (empty($session_id)) {
return false;
}
if (!$this->db->connect()) {
return false;
}
$sesid = $this->db->addQuote($session_id);
$sql = sprintf("DELETE FROM sessions WHERE sesid=%s", $sesid);
$is_delete = $this->db->doQuery($sql);
$this->db->close();
return $is_delete;
}
function gc($expire_sec) {
$expired = time() - intval($expire_sec);
if (!$this->db->connect()) {
return false;
}
$sql = sprintf("DELETE FROM sessions WHERE sesupdated < %u", $expired);
$is_delete = $this->db->doQuery($sql);
$this->db->close();
return $is_delete;
}
}
よろしくお願いします。
なぜ保存関数が全部クラスにまとめられてるの?
session_set_save_handlerのサンプルでは単なる関数の集まりになってるけど、その辺大丈夫?
あとrefreshして表示されるアドレスのホスト名はおなじだよね?
session.use_trans_sid
session.use_cookies
session.use_cookies = 1
session.use_trans_sid = 1
クッキーが使えるときはクッキーを使って渡し、
クッキーが使えないときはURLにパラメータを付けて渡す・・・ってことですよね。
ブラウザ側のクッキーは使える設定です。
が、全てURLにパラメータが付いてきます。
ちなみに、
session.use_trans_sid = 0
にするとページが変わる毎に新規にセッションIDが作られ、セッションが保持されていません。
なんなんでしょか?これ。
自己解決しました・・・
php.iniの中のsession.cookie_path =が
session.cookie_path = /tmp
になっていました・・・(何でだろ・・・???著しく不明。
session.cookie_path = /
で問題無く動きました。
!?
((((;゚Д゚))))ブルブル
。 。
/ / ポーン!
( Д )
環境はwindowsですか?
Linuxならある意味凄いと思う。
実はセッションファイルの置き場をtmpfsで作ろうと思います。
しかしながら、単純にtmpfsで/tmpを作って重ねてしまうと、既に入っている各種のファイルを使えなくなるため鯖の動作がおかしくなります。
んで、Apache+phpのセッションファイル専用に/tmp2を作ろうと思います。
が、php.iniのsession.save_pathを/tmp2にして再起動し、セッションが働くように動作させても、/tmpの方にセッションファイルが書き込まれて行きます。
/tmp2のパーミッションを777にしても同じです。
php.iniのsession.save_pathの設定が無視されているようです。
これはどういうことなのでしょうか?
教えて下さい。
わかった
先頭に;がついたままでコメントになってる
ち・ちがう・・・orz
そこまでアホやないっつぅの (`・ω・´)
じゃあスクリプトで
ini_set('session.save_path', '/tmp');
とかやってる
わけないよね
ていうか
ini_set('session.save_path', '/tmp2');
としたらどうなる。
どうもです。m(__;)m
session_start();の前でやるってやつでしょ。
その手も考えたんですけど、それ以前に「なんでこ〜なるの???」状態です。
php.iniの記載が無視されているんですよ。
別のphp.iniを読みに行っているのか?と。(そんなことは無いと思うが・・・)
最後の手段はini_set('session.save_path','/tmp2');ですね。
そのphp.iniが読み込まれてることは
確認した?
他に無いですから・・・
(ZENDのツールがクサイのですが・・・)
尚、ini_set('session.save_path','/tmp2');では動くことを確認しました。
しかし、このini_set()で作ったセッションファイルも、
しかるべき確率で掃除してくれるんでしょうかね?
まぁ、暫く見ていれば分かる話なので観察しますよ・・・orz
お手数をお掛けしました。ありがとうございました。 (´・ω・`)ノ~~~
ini_set('session.save_path','/hoge');で作られたセッションファイルも消してくれるんですね。
1440秒経ったら100分の1の確率で掃除してくれます。
これで行きますよ。
(´^ω^`)ノ~~~~
行き来する場合はどうなるのでしょうか。
hiddenでセッションIDを持ち歩く必要性があるという解釈でよいの
でしょうか。
http://www.hardened-php.net/advisory_202005.79.html
http://www.hardened-php.net/globals-problem
http://blog.ohgaki.net/index.php/yohgaki/2005/11/02/phpa_rc_fei_a_oa_oa_fa_sa_le_acsa_oe_afp
PHPに深刻な脆弱性がある事が発表されました。今まで見つかったPHPの脆弱性の中でも「最悪」の脆弱性です。全てのPHPユーザは今すぐ対処を行う必要があります。
これを残さないようにすることってできるのかな?
セッションファイルはちゃんとガーベージコレクトされる筈だが。
ガーベージコレクトのタイミングやゴミとみなされるまでの時間を見直したら?
セッションハンドラをいじればDBにだって保存できるぞ。
>hiddenでセッションIDを持ち歩く
すごく無意味&恐ろしいこと言ってるな・・・
何が無意味でどう恐ろしいの?
俺も似たようなことやってるので教えて欲しい。
まんま続けてろ。
探してそのうち遊びに行ってやるw
それとも知ったかぶりしてるの?
そりゃcookieでSIDを持たせた方が、安全性は高まるけど
そうではなくGETとか選択してるのは、理由があってやってるんだろ?
要するにパスワードかなんかでふるいにかけても
URLで「login=ok」みたいに渡しちゃってたら誰でも入れてこれは困ったな
見たいになるのを防ぐものなんですか?
>「login=ok」みたいに渡しちゃって
ということを普通は最初からしないので、何とも。
セッションはその名のとおり、C/S間のやり取りが
継続しているということを実現するための仕組み。
かといって特に新しいことも、物凄く高度なことでもなく
かつてPHPの標準のセッション機能が無い頃は、各々が
ごく当たり前に独自にセッション機能を作ってやってたもんだよ。
(PHPlibとかあったけど)
だから今でも、何も難しく考えることはない。ただあるものを使えばいい。
セッション乗っ取れば認証回避出来るよ。
めちゃくちゃセッション作ってくれるとおもうんだけど
貴殿らどういう対策してる?
セッション生成場所に限らずF5アタックは嫌なので
httpdより前にブロックしてる。
F5アタックなら全部同じセッションになるんでないの?
ううむ、やっぱそのレベルで防がないとだめかー
スクリプトレベルで防ぐのはあんまり賢くないかな
たとえば何件いったら新規セッションを一時発行しなくするとかね
>>322
クッキー拒否だと新規セッションにならない?
httpdより前でブロックって
何を使ったらできるの?
ルータじゃないの
httpd自身(libwrappr)とか鯖のIP処理レベルとか、本命のファイヤーウォールとか。
ちなみにルータで処理させるとルータの負荷が騰がって、他の通信にも影響が出るから辞めるべき。
mod_php弄って特定IPからのアクセスにRSTパケット返しちゃうってのも、F5連打廚にはいいカモな。
自分が使ってるのはiptablesだから、そこの中で。
つかhttpだけじゃなくて、sshやftpへのブルートフォースアタックがかなり多いので、
それらもまとめて弾いてる。Apacheでやるなら、mod_dosevasiveみたいなまんまの奴や
帯域を絞るモジュールなど色々あるよ。
phpで対処するってのは、自分で手を出せるところの範囲が狭くて
どうしようもない時の残された方法かと。F5アタックならphpでなくても
負荷のかかるコンテンツならどこを狙っても良いわけだし。
レンタルサーバなら、収容している他のユーザが対処してないなら意味無いしね。
皆さんのところは何を使ってますか?
とりあえずうちは「session_pgsql」を使ってますが他になにかいいのないですかねぇ。
何からパクりましたか?
IPとブラウザのUA(吐かない場合あり)チェックだけだと
例えば社内LANとかでのハイジャックの危険性は残ったままだよね?
何かいい方法ないですか?
社内LANってやつからWAN(サーバ)へのアクセスがプロキシ経由やNAT経由ならね。
普通にIPが変わることもあるよ
class session{
var $idname;
var $id;
function session($idname=""){
if(!isset($idname) || $idname=="") $idname="sid";
$this->idname=$idname;
$this->id=$_GET[$this->idname];
if($this->id==""){
$this->id=$_POST[$this->idname];
}
}
function init($id=""){
if(isset($id)&& ($id!="")){
session_id($id);
session_start();
$this->id=$id;
}else{
if(isset($this->id) && ($this->id!="")){
session_id($this->id);
session_start();
}else{
session_start();
$this->id=session_id();
}
}
}
return $this->id;
}
function VarExist($varname){
if(isset($_SESSION[$varname])) return TRUE;
return FALSE;
}
function get($varname){
if($this->VarExist($varname)) return $_SESSION[$varname];
return FALSE;
}
function set($varname,$value){
$_SESSION[$varname]=$value;
}
function remove($varname){
unset($_SESSION[$varname]);
unset($GLOBALS[$varname]);
return TRUE;
}
function clear(){
while (list($key, $val) = each($_SESSION)){
unset($_SESSION[$key]);
unset($GLOBALS[$key]);
}
}
}
?>
セッション発行してるみたいで、PCではセッションを採取できません。
特定のセッションが欲しいのではなく発行されているセッションであればOKです。
セッションの有効期限は3分?ランキングアウトPhpでセッション破棄しています。
何か有効な方法があれば教えてください。
シネバイイトオモウヨ
ツーホーしときますね
まぁ昔のRanklink改造した奴なんか簡単にセッションハイジャック出来たが、
セッション管理をファイルでやっててそのファイルがあるディレクトリに穴でもない限りは無理やね。
関数の話がしたいならPHPスレじゃね?
10日以上前の書き込みにレスしちまった。。
ヤケクソage
なんか期待しちまうじゃないかorz
そのまえに鯖が異常に重くなってあぼんするだろうけど(w
PHPじゃないとセッションつかえないと思ってる香具師の数→
を入れるという実装って普通しますか?
IPアドレスなんて変わることが多いからそんなことしないかと思っていたの
ですが
再利用しているところが多いし、同じIPアドレスを使ってるPCだって結構ある。
あと同じIPアドレスを使っているというのは、NATのことでしょうか?
それくらいしか思いつかなかった。
SSLを使わないでデータを安全にやりとりする方法ってありますか?
JavaScriptとPHPでRSA暗号使ってやりとりしようと思ったのですが、
もっとスマートで対応するブラウザが多い方法ってありますか?
どなたかご存じの方教えていただけると嬉しいです。
NATもproxyも。
RSAで簡単にやるのがSSLなんだけどね。わざわざSSL使わずにどうにかするほうが面倒で難しい。
きょうびJavaScriptに対応しないブラウザよりSSLに対応しないブラウザの歩が珍しいかな。。orz
俺は「一応の保険」みたいな感じでやってるなー
もちろん単なる簡単な保険程度の扱いだけど。
作る「もの」によるかな?
シビアなチェックが要求されるものならIPチェックには頼らないが、セッションハイジャックされたところで
そんなに大したもんでもない程度のものなら、IPチェックすらしてないw
IPチェック程度を実装する事もある
みたいな。
>>357の書く通りそれに頼ってしまうのは間違いだけど、セッションハイジャックを防ぐ方法としては比較的一般的に使われてる手法。
http://www.google.com/search?num=50&hl=ja&q=%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF+%EF%BC%A9%EF%BC%B0+%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja
実際にどんな場合に利用してます?
個人的には無意味かなぁと思っていたのですが
保険的に利用する場合ってIPチェックして違った場合、ログを残すとかそんな感じですか?
>>358
ログイン後、操作をしない(通信をしない)時間が数分続くと、
勝手にログアウトしてしまいます。
ブラウザを閉じたわけでもないですし、session.gc_maxlifetimeは1440あります。
明示的にログアウト処理をしない限りログイン状態が続くようにしたいのですが、
どこの設定をいじれば良いのでしょうか・・・。
そこ読んだけど
IPチェックはあまり意味ないって言ってる気がするが?
そう。あんまり意味無い。
でも、全く意味が無いってわけでも無い。
つまり、それ程シビアなチェックを必要とされないものなら、この程度でも良いかもね程度に考えておけばと。
とにかくだな。
あくまで1つの手段としてこんなのもあるよって話しなので、気に入らないのなら別の方法を実装すれば良いだけの話。
頭で色々考えるのも良いが、まずは先に物を作って実際に動かした方が余程勉強になるかと。
↓書き方悪かったな。
まずは先に物を作って実際に動かした方が余程勉強になるかと。
↑っていうのは、自分でセッションを使う簡易的なサイトでも作ってみて、それを自分でセッションハイジャック出来るかどうか試してみたら良いよって感じかな。
ハイジャックできてしまったら、それを防ぐにはどうすれば良いかを考えて改良し、また自分でハイジャックを試す。
そんな感じで完成度を上げていくと良いかなって思う。
他との併用でしょ。セコムのシール貼ってるだけに近い。実際の防犯にはちゃんと対策が必要。
元々HTTPはステートレス。
セッションを使って無理矢理ステートフルに見せかけてるだけ。
NATとかkeepalive切ってる場合も有るから、鯖でがんばっても無理が有ることが多い。
セッションIDでログイン状態を判断するっていうのは
最初ログインしたときに
サーバ側のDBなどでセッションIDとログインしたユーザを
紐づけて管理するってことですよね?
それとは別に、ログイン時に
ログインIDとパスワードをクッキーに書き込んで
認証が必要なページでは毎回クッキーで判定しようと思うのですが
どんなリスクがあるのでしょう?
もちろんパスワードはMD5などの不可逆な変換を行い
クッキーもSSLのページのみで受け渡しします。
セッションIDなら一度ログアウトしてしまえば大丈夫だけど、
それだとログアウトしてもクッキーさえ持っていれば再度ログインできる。
すみません、クッキーと書きましたが
ブラウザを閉じたら消えるやつで
いわゆるセッションと同じようなもののことでした。
でもブラウザの実装によっては
一時的でもクライアントに保存されるため
リスクが高いということでしょうか。
強いて言うなら、その方法だと、XSSでクッキーを盗まれたときに、
パスワードを変更しない限り、その情報が使えてしまうけど、
XSS心配したらセッションも使えないし、
リスクという点では大差ないと思う。
セッションには、
・PHPに初めから実装されていて、手軽に使える
・ブラウザを閉じるまでは、以前の情報を継続して使える
という利点があるけど、単にログイン状態を保存しておくだけだったら、>>367の方法でも良いんじゃないかな。
永続的なパスワードは一時的であれクッキーに保存するべきではない。
XSSでコッソリ取られた日には目も当てられない。
パスワードそのままじゃない
って言ってるよ
10秒たってもセッションがタイムアウトしません。
なぜなんでしょうか?
環境はIIS5.0 / php5.0.3 です。
php.iniの値はこのようになってます。
session.auto_start Off Off
session.bug_compat_42 Off Off
session.bug_compat_warn On On
session.cache_expire 180 180
session.cache_limiter nocache nocache
session.cookie_domain no value no value
session.cookie_lifetime 0 0
session.cookie_path / /
session.cookie_secure Off Off
session.entropy_file no value no value
session.entropy_length 0 0
session.gc_divisor 100 100
session.gc_maxlifetime 10 10
session.gc_probability 1 1
session.hash_bits_per_character 5 5
session.hash_function 0 0
session.name PHPSESSID PHPSESSID
session.referer_check no value no value
session.save_handler files files
session.save_path no value no value
session.serialize_handler php php
session.use_cookies On On
session.use_only_cookies Off Off
session.use_trans_sid 0 0
よくよめ。
>>371
確かに。XSSの事忘れてた。。
つーか、わざわざパス記録すんなよ。メリット無いだろ。
セッションならXSSで取られてもIPで再度チェックすれば大体防げる。
IPが変わる環境のクライアントは切り捨ててるの?
ホスト名が取得出来るんだったら、末尾から数えて二つめのドットまでマッチングとかな。
自分はもうちょっと複雑に可変範囲決定してるが、方法はいくらでもあると思われ。
携帯サイトのことを言っているのならIPチェック自体がナンセンス
通常のネットワーク環境を前提にしているとしたらIPが変わった時点でセッションが切れて当然
苦情来ない?実際自分も不便だと思うからneverにしてる。
クリティカルなやりとりに入る場合は再入力させてるけど。
.co.jp ??
>>377
そうなんだ
知らなかった
いや、so-net.netとか。.ne.jpとかは末尾ドット二つじゃ足りなくて三つ遡ってマッチしなきゃならんが。
ヤフやらはてなやらアマゾンはそんな実装だな。>>378
関係ないけど、ヤフの会員登録(HTTP)は生でパス流してる。
それ「セッション」じゃないし…
チャレンジレスポンスだけど、途中に割り込まれたらっつーのもあるし、今時HTTPって。。
所謂セッション管理についてのスレだから一行動としてのセッションで捉えなくて良いと思ふ、
つか、今時そんな短時間でログアウトさせてる方が珍しい、金融機関除いて
なにがセッションじゃないんだ?
セキュリティ的には短い方が望ましいが、長い方が明らかに便利。
あ、良いこと考えた。
直接PCを操作される場合のリスクを考えてナカタ。何か良い方法無いですか?
質問したいなら
要点をまとめてからにしてくれ
ちゃんとセションファイルに書きこまれないときがあります。
具体的には
画面AでA.php?hoge=aで
$_GET['hoge']から'a'を取得し
$_SESSION['hoge']="a"といれ、
画面Bに行く。
このとき$_SESSION['hoge']はaとなっている。
ブラウザの戻るでAにもどり
URLにA.php?hoge=bと入力しエンターキー。
($_SESSION['hoge']="b"となっているはず。)
画面Bに行く。
するとこのとき、
$_SESSION['a']の中には
aが入っていて、こちらの期待する値(b)になりません。
画面Aに戻り
URLにA?hoge=bと入力しエンターキーを押して
F5を押すと
$_SESSION['a']には期待値(b)が入っています。
どうしてこのようになるのか分かりません。
どなたか教えていただけないでしょうか。
また期待値を得るためにはどうしたら良いでしょうか?
とりあえずAとBのソースを書いてみろ。
↓こんな感じで書いてます。よろしくおねがいします。
top.php
<?
session_start();
$_SESSION['name'] = $_GET['name'};
print($_SESSION['name']);//ここでは表示される値は毎回更新されている
:
:
:
//入力へのリンク
print ("<a href ='input.php'>リンク</a>");
?>
input.php
<?
session_start();
print($_SESSION['name']);//←ここで値が更新されず、前の値がでることがある。
:
:
:
?>
別に問題なく動作したが。。。
動作がおかしいときは、ブラウザがキャッシュから表示してるのだと思う。
session_cache_limiterを弄ったりしてなければ、あまり起きないはずだが、
どうしても以前の情報を表示したくないのなら、
input.phpにランダムなクエリーをつけるか、POSTでアクセスするかかな。
それから、本当にキャッシュから表示してるのか確かめたければ、
input.phpに現在時刻の表示とかを入れると良いよ。
どうもありがとうございます。
>input.phpに現在時刻の表示とかを入れると良いよ。
私もこれは試したのですが、
時刻は現在時刻を表示してるのですが
$_SESSIONの値は変わらずといった状態でした。
設定をもう一度見直してみます。
お世話になりました。
もしかしたらここの主旨とずれていたかもしれません。
質問用スレッドにて質問させて頂きます。
どうもすみませんでした
みなさんは自作されてるのでしょうか?
PEAR::Authを使ってるのですが
このスレを読んで心配になりました。
PEAR::Authのログインしたときのクッキーの送受信を
セキュアな接続のときに限定することはできないですよね?
ブラウザのキャッシュとは限らんよ。
ブラウザに到達するまでに色んな所でキャッシュする装置が挟まってることは良くある。
ファイヤーウォールとか、キャッシュサーバとか、プロクシとか。
SSLのことだろ?
ずっとログイン状態が続いてるよね。
あれってどうやって実現してるんだろう?(&セキュリティ的に大丈夫か??)
一時期流出してたしどこか有るでしょ。
たしかにネットカフェとかでmixiにログインして
そのままログアウトし忘れてそのまま帰っちゃうヤツとか多そうで危ないな。
ネカフェでミクシなんてあり得ないでしょ。
個人情報漏れまくりだ。
だってPCに詳しくない女性とかライトユーザが超多いから。
「次回から自動的にログイン」のチェックを入れてログインしないと、そんな事にはならないでしょ。
当たり前の実装が普通にしてあったぞ。
ハァ??
「次回から自動的にログイン」にチェックを入れなくても
ログインが継続される仕様になってるから>>398のような疑問が出るわけだが。
今、俺が実際に実験してみたところ、「次回から自動的にログイン」をチェックせずに
ログインした状態でパソコンを再起動してもログインが継続されていた。
すなわちネカフェなどでの使用は超危険。
http://mixi.jp/help.pl#10dこうも書いてあるし、バグレポ送ったらイインジャマイカ。
正直、そんなバグあったら界隈で大騒ぎされているとおもうが。。
チェック無し
→有効期限無し=セッション限り
チェック有り
→有効期限2011年5月28日
再起動後もログインが継続されるとすると、ブラウザ側に問題があるが、
そういうブラウザがあるなら気をつけた方が良いな。
現在進行形で祭り中
資料4(最新版) http://myon.blog.shinobi.jp/Entry/4/
便利だからって理由で「次回から自動的にログイン」にチェック入れてるでしょ。例え不特定多数が使うPCでも。
俺もIE6なんだが、、、バグだろうか??
「自動ログイン」にチェック入れなくても、
ブラウザ閉じようがPC再起動しようが、ログイン状態が継続されてるよorz
みんなそうだと思ってたら、俺だけなのか・・・
ごめ、>>402じゃなくて>>405へのレス。
「自動ログイン」のチェック無しでログインすると
「BF_SETTING」って項目とデータ7行。
「自動ログインあり」だと、「BF_SETTING」に加えて、
「BF_SESSION」と「BF_STAMP」ってのが追加されるみたいだね。
チェック外しても昔送ったクッキーを生かしたままにしてあるとか?
少なくとも、ログイン画面を見ているときはクッキーが切れてる。
どうやって生かしたままにするの??
ログアウトしてるのに、クッキー消したら認証突破できるんじゃね?
ん? 何を見当違いのこと言ってんだ?
「ログアウト判定のクッキー喰わせてる」って、何を根拠に言ってんだか・・・
ログアウトは、有効期限切れのクッキーを送ってる。
つまり、クッキーを削除するのに通常使われる方法だぞ。
だよね。
( ・ω・)
○={=}〇,
|:::::::::\, ', ´
.wwし w`(.@)wwww
なおかつ、結果と、ソート状態、何ページ目は、他のページを開いても戻って来た時保持したい。
いちいちGETやPOSTからsqlクエリを毎度生成するのはめんどくさ過ぎるから、
検索条件が投げられた時点でsql文をつくって、まるごとセッションにぶち込む。URLにGETに含めるのは現在何ページ目、ソート対象、ソート方向、表示件数だけにしてしおうかと思ってるけど、こういうのはありなのかな?
2枚ウインドウを開いて違う検索しようとしたら、一方の検索条件が両方に適用されて
まともに使えないサイトがあった。
ウインドウ毎に区別されるようにしてね
暫く前の@type(転職サイト)がそう。最悪の使い心地だった。
今は他社同種のと同程度には改良されてるけど。
なるほど。そういう弊害もあるのか。
いい事聞いた。ありがと。
やはり自分で想定できることってかぎられてるんだなと。
だったら新たに窓を開いたら窓ごとに別のセッションネームをつけてsql文を格納すればよさそうですね。
表示部分の関数がsql文をわたす設計で、結果からのリンクはすべてget渡しなんで、関数内でsql文を生成するとおそろしく面倒なことになりそうだ。
でもこれが完成したらすげー楽になるかも。
全ての入力を統合するのは、やっぱり無理っぽいかも。もう限界に近づいて来たというのに、ひどい状態になってしまったorz
コメントアウトだらけで自分でもわけわからん、
アイドル状態が続くとセッションが切れてしまうのを
回避する方法を考えています。
・ サーバでのセッション保持期間を長くする
・ セッションでなくクッキーなどによる管理に変更する
これ以外になにかいい方法があったら教えてください
普通に考えたらクッキーだよな。
面白い方法だと、例えば幅無しのフレーム作って、そっちのフレームの中を<META>タグで
何秒か置きに更新させて、その中でセッションを更新させてやるとか。
↑まぁこんな事やる意味が分からないけどね(w
フレームはちょっと考えてました。
あとはFlashとかで定期的に通信するとか。
でも最後の手段と考えてます。
クッキーの場合は、パスワードも暗号化したクッキーとして
クライアントに返して
毎回そのクッキーで認証するって感じでしょうか?
「毎回」の意味が不明だけど。
認証に通ったらワンタイムパスワードを発行。
クッキーやワンタイムパスワードは総当たり攻撃で突破される。
そもそもHTTPなんてステートレスなプロトコルでセッションが切れるのは仕様。
SOAPとかCORBAとか他のプロトコル使ったら?
>アイドル状態が続くとセッションが切れてしまう
session.cookie_lifetimeが「0」なら、
ブラウザを閉じない限りセッションも切れないだろ。
しかもそれってデフォルト設定だし。
サーバ側は削除されるだろ?
削除されないよ。
実際自分のとこで動かしてるスクリプトは、
一度ログインしたらブラウザ閉じるまで何日でもログイン状態(=セッション)続いてるし。
何日もログインできるってメモリリークしまくりに気づいてないだけじゃ?
お前が>>442で書いてることは間違い。
セッションはファイル(またはDB)で管理されるものであり、
メモリとは直接関係ない。したがってメモリリークなど起きない。
悔しかったら具体的にどういう根拠でメモリリークが発生するか書いてみたまえw
他にアクセスがなければ削除されないでしょ
自分しか使わないシステム?
セッション管理はセッションIDをベースファイルネームにしたファイルベースで行われてて、
セッションIDに対応したファイルがあるかないかだけの話だと思うのだけど、
そこに一体どういう原理でメモリリークが発生するの????
ガーベッジコレクションの動作についてよく勉強したまえ。
gcは、「ガーベッジ」となっていないものまでは回収しない。
>セッション保持はメモり喰うし、メモリリークが発生しやすい
アタマ大丈夫??
ファイルでもDBでもセッションが多数に成ればその分だけメモリの使用量が増えて、解放されないメモリが増えるよ。
事実上メモりリークしてメモリの再活用や再割当が出来なくなる。回収しないのではなくて回収できないメモリが増えていくのがメモリリーク。
メモリを使用したときでも、きちんと解放がセッション保持のプロセスに含まれてるしメモリリークするとは考えられないが。
>ファイルでもDBでもセッションが多数に成ればその分だけメモリの使用量が増えて
↑こいつキチガイだなwww
なんでセッションファイルの数が多いとメモリ使用量が増えるんだよw
そしたらセッション以外にもスクリプト自身とか、さまざまファイルが
多ければ多いほどメモリリークが発生する…って理屈になるなww
だから食わねぇっつーの。
そんなに自説を主張したかったらソース出せソースを。
誰がどこでそんな珍説を広めてんだ?
で、PHPの自動メモリ解放機能とかを知らずに、
最近覚えた「メモリリーク」という言葉を連呼したくてたまらない厨房なのでは??
まあ、何にせよセッション・ファイルとメモリリークとは関係ない話なんだけどね。
10万セッションのサイトでは、10万セッション分のファイルハンドルが必要なんだよ。
十分メモり喰うし、長時間セッション使ってるとメモリリークも起きる。
10万セッションも必要なサイトの管理者はこんなスレ来ねぇよバカ。
っていうか10万セッションもあったらファイルハンドラじゃ無理があるからDB使うし、
そもそもサーバ1台じゃなくて複数台に分散するんだよクズ。
しかも負荷分散しないでやってたら(やれるとしたら)、
そもそもメモリリーク以前にもっと別の問題が起きると
思うけどなww
もう少し勉強したら自分がキチガイなこと言ってるって分かるよ。
恥さらしもその辺にしとけよ(w
だから何を見当違いのことを言ってんだ、おまいは。
もしやおまいは>>459=>>456か??
その前にメモリ喰いまくりで太ったアパッチごとkillされる。
⊂⌒( ・ω・) はいはいわろすわろす
`ヽ_っ⌒/⌒c
⌒ ⌒
2003鯖を使ってる漏れは勝ち組。
人氏んでるんやで。プログラムぐらいまともに組め。
だからメモリリークが発生するというのなら、
具体的な根拠や発生機序を示せよ。
上昇直前に開ボタンを押すとメモリリークが発生して死亡事故が起きる。
人氏んでるんやで。プログラムぐらいまともに組め。
おめでたい思考回路ですね。
とても漢らしい生き方だと思いました
いまだに具体例や証拠が一切出されていないのが笑えるw
必死だな(w
ヒント;>>460,>>462,>>468
これってどういうこと?
ブラウザが閉じられるまでgcが発生しないようになんて
できないよね?
そんな方法があるなら知りたい。
gc_maxlifetimeを1年ぐらいに設定するとかはなしでw
ない
445が間違えてるだけ
んなこたぁないだろう。
そしたら「ブラウザ閉じない限りはずっとログインし続けたまま」の
システムを作ることが不可能になるじゃんか。
一体どのタイミングからカウントされた秒数なの?
最初のアクセスか、それとも最後のアクセスか・・・
不可能だし
>>494
まず試せ
まずググれ。
が,正解かと。
不可能じゃないよ。
だってmixiとか、ブラウザ閉じなければ何日でもずっと
ログイン状態が継続してるし。
それ、セッションじゃなくて、クッキーにユーザー名とか保存してるだけじゃ無いの?
セッション何日も維持するなんて、セキュリティ上あり得んよ。
クッキーに何を保存してるか、見てみれば?
ちなみにクッキーは3個。すべてセッションオンリーはNO、有効期限は5年。
クッキーにユーザー名とか保存はしてない。直接の値が書き込まれているのは表示設定のみ。
ていうかそっちの方がセキュリティ上問題あるだろう
mixiのクッキーにはユーザー名(メアド)は書いてないよ。
>>499
>セッションオンリーはNO
↑これどういう意味??
>mixiはブラウザ閉じても次アクセスすればログイン状態では?
「次回から自動ログインする」にチェックを入れてログインしたなら、ね。
>セッションオンリー
ブラウザを終了したらクッキーを破棄するかどうか(これがオンだと有効期限は設定されない)
「次回から自動ログインする」にチェックしたらセッションオンリー=オフで有効期限5年のクッキー
チェックしなかったらセッションオンリー=オンのクッキー
という使い分けみたいですね。
あれっ、mixiのクッキー内にそんなデータあった??
俺見てみたけど、見当たらないぞ・・・
っていうか「BF_STAMP」って何を指してるんだろう? BFが何の略なのかも気になる。
言いたいことは分からないでもないが
セッションオンリー
って言葉はどうなの?
>>502
独自のセッションを実装してるみたいだね
ワンタイムパスワードみたいなのを3つくらい返してる
mixiって同じIDで別の端末からも利用できるの?
できるんならサーバ側の情報管理はたいへんそうだな
たしかにワンタイムパスワードみたいなのがあるね。
でも何回かログインとログアウトを繰り返してみたところ、
そのワンタイムパスワードみたいなのは変化しなかった。
ってことは「ワンタイム」じゃない!?
ってことはmd5とかで変換しただけのものを
クッキーに保存して毎回アクセスするたびに認証してるだけだね
セッションじゃないじゃん
一番確実な方法だと思うが
セキュリティ的にはhttpsでもないしだめだと思う
BF_SESSION
が 999_jidjaijdiojaidjhifjaj1399
みたいになってて先頭の数字が会員IDで後ろは
会員に対するランダムな文字列
(ってことで会員IDもかかれてるよ)
BF_STAMP
がパスワードになにかしたもの。
(パスワードを変更すると変化する)
BF_LOCAL_SESSION
が一時的なセッション管理用っぽい。
認証はCOOKIE(BF_SESSIONとSTAMP)で管理して
一時的なセッション情報(すぐに消えてもいいもの)を
BF_LOCAL_SESSIONのほうでやってると思われ。
ちなみに BF_ がなんの略かは分からない。
以前フロントエンドのソースコード流出で話題になってた。
mixiはDBもロードバランスしてたりするから、
セッション管理とかもやたら複雑なんだろうなぁ。。。
もっと小規模のSNSだったなら、そこまで複雑なCOOKIEにならないで済むのかな?
たとえばOpenPNEとか。使ったことないけど。
> >>506が神に一歩近づきました。
> mixiはDBもロードバランスしてたりするから、
> セッション管理とかもやたら複雑なんだろうなぁ。。。
レイヤ7スイッチなら関係なし
なんかmixiは色々と入れてるんだね。しかも会員情報と関係する物を。
完全ランダムなハッシュ?
どうやって認証するの?
セッション使うってこと?
いや、別に変わった事言ったわけではないっす。セキュリティを確保する為の問題はそこからだよね。。
man in the middleを考えるならSecure発行も必須だな。
> ログイン時にランダムなハッシュをクッキーとして渡して、鯖側でユーザと結びつけて管理。
sessionと何が違うんだ?
ブラウザをIEの同義語で使うのと同レベル
sessionid 以外にハッシュを渡して
認証済みチェックをやるってことだろ
>>519
???
って事が言いたいのでは?違うか??
PHPのセッション関数によって発行されたセッションIDをクッキーに渡すんじゃダメなの?
>>518も書いてるが、セッションIDとは別にわざわざハッシュ値を用意する意味がよく分からない。
そうなると確かにsessionは使えないな。常にSSL使える環境なら標準のでいいんじゃね?
>自前でセッションハイジャック対策やってるんだが、
>そうなると確かにsessionは使えない
どうして??
これをsessionでやろうとすると結果的にハッシュが二重に保存される上に処理にロスが出る。
言ってる意味がわからん。
なんか無駄に難しく考えてないか?
それを実装したいなら、セッション変数にホストとUA入れればいいじゃん。
ただし、既出のように、それだけではセッションハイジャックを完全には防げないし、
ホスト(IPアドレス)がHTTP接続ごとに変わる環境のやつが利用できなくなる罠。
ごめん。書き忘れてたんだけど、
複数のアクセスポイントからアクセスする人もいるから、
一つのユーザに複数のセッションを割り当てて管理してます。
その過程でIDと複数のセッションを関連づけてるんだけど、
sessionだとIDからセッションの逆引きが出来ないので。。
ちなみに、ホストが変わるのは適度にマッチングして対応しています。
ところでNonSSLでセッションハイジャックを完全に防ぐ方法ってあるかな?
無理だよね。。まぁ、SSL使えって話しなんだろうけど。
SSLでも完全には防げないし
そういや、ny系のウィルスでCookieやらをzipにして流すのがありましたね。
っていうかSSLは通信内容を暗号化するだけで、
セッションハイジャックを防ぐ手段とは関係ないわけだが。
不安になって確認しちまったじゃんか。ぐぐればざくざく出てきますぜ。
ぐぐればざくざく出てきますぜ
実用的には無理があるよな。
mixiみたいに、認証時以外はHTTPにするしかないだろ。
負荷やレスポンスなどを考えると。
重要な情報をやりとりするとき以外はhttpでいいんじゃね。
YahooもBiddersも楽天だってAmazonだってそうしてるし。
鯖側よりクライアントに負荷の比重を置くセキュアプロトコルが欲しいところだな。
負荷を考えるのであれば全てをhttpsでやろうとするのはナンセンスだよな。
1日10アクセスぐらいのサイトなら好きにすりゃいいけど(w
すべてをhttpsでやってるとこなんてあるの?
実際にSSLを使わずに重要情報をスニファされた事件って、実例あるの?
そんなもん、いまだに聞いたことないんだが。
実際には存在しない「架空の泥棒」を生み出して大騒ぎし、
人々の恐怖心を煽って大儲けしているヤツらがいることに少しは気付こう。
だからキミらはいつまで経っても搾取され続けるんだよ。バカだから。
そんなキミらは映画『ボウリング・フォー・コロンバイン』でも見ると良い。
素人の趣味でやるなら好きにすりゃいい。
論点のすり替え乙。
意識だのプロだの関係ない。
ただ単に想像の産物で騒いでるお前みたいなバカのことを笑ってるだけだよ。
本当レベル低いよな。
会社でなら
SSLを使用しないせいでパケットスニファされた事件なんて記憶にないな。
誰か実例知ってる?
SSLの使い方
http://pc8.2ch.sc/test/read.cgi/php/1016169881/
ユーザの事考えなくても良い素人ならね。
何回もクドクドとウゼェなぁ。「素人、素人」って、お前は何様なんだボケ。
つーか歯車リーマンが何を偉そうに語ってんだバカが。
悔しかったら早くスニファが原因での情報漏洩事件を挙げてみろカス。
それ以外だと無理だとおもわれ。ルータでARPがクッションされるから。
獲得できるユーザが少なくなったり評判が悪くなるって言ってるんだよ。白書読め。
キミはユーザにそう説明してれば良いんじゃない?
言い訳は要らないから、早く実例出せよ。
SQLインジェクションやXSSでの被害実例は豊富にある。
だからその対策を講じるのは合理的な理由がある。
しかしSSLを使用しなかったことによるスニファでの被害実例は、少なくとも俺は知らない。
まさかお前、実際にはありもしない不安を煽って、客から高い金取ってるんじゃないだろうな?
そういうのを詐欺とかボッタクリと呼ぶんだぜ。
勝手にベリサインにでも電凸でもしてSSLサイトでも作ってろ
いつまでスレ違いネタ続ける気だR
SSLサイト→SSL叩きサイト
掲示板のルールすら守れないやつが正義漢振るな
ゴミが
まさかここまで言っても分からない馬鹿だとは思わなかった。
被害がある被害がないは関係ないんだよ。ユーザがそれを気にしているかどうか。SSLを使用しているかどうかをチェックするユーザがいる事実、これだけが大事。
XSS、インジェクション、それらの対策がなされているかチェックしてからサイトを使うユーザが何処にいる?
それに対しSSLのチェックは簡単で、大きくメディアにも取り上げられている。また、上にも挙げたとおりいくつかの白書に載っている統計にもユーザがそれらを判断基準にしているとの統計が出ている。
お前みたいなユーザ数を気にする必要のない素人には関係ないがな。ユーザ数獲得を目的とする"プロ"の"SSL使用"の何処が非合理なんだか。
セキュリティよりもお前は自分の馬鹿さ加減を気にした方が良いな。
空気読まない質問に答えてやってもいい相手は小さい子供だけだ
いつまでやってんだか。。。
何処かで見たような気がするんだけど思い出せん
session_start();
session_regenerate_id();
こゆこと?
いやぁ、スゴい論点ずらしの逃げだね。見事な負け犬っぷりだwww
お前みたいな馬鹿システム屋がいるせいで、ますますド素人の客やユーザーたちは
「SSLさえあれば安全!」みたいな間違った認識を増大させ、
もっと重要かつ事件が頻発している穴をふさぐための費用を出そうとしない。
それからユーザ数獲得云々とか、お前の論理なんてどうでもいいわけ。そんなの誰も聞いてないだろ。
そうじゃなくて「SSLが無い場合の危険度=過去に起きた被害実例」を挙げてみろよ、って言ってんの。
もしユーザからそれを質問されたらどう答えんの? あ?
お前の論理でいくと、「ユーザ数獲得を目的とするプロ」なら、上記の質問には答えて然るべきだよなぁwww
在日の君にはまず日本語を覚えて貰わないと話しにならないなぁ。
しかも、>>555に最初にレスしてきたのは君でしょ。それがルートレスになってるんだからそのレスに基づいて話すのは当たり前。論点をずらさないで欲しいね。
まぁ、君の質問にも答えてあげると、情報の盗聴というごくごく受動的な行為は被害を受けたと認識する事は出来ないってこと。
被害実例?気づいてないんだから少ないのは当たり前。普段と何ら変わりないのにどうやって気づく?個人情報漏洩した企業の"情報の悪用は確認できない。"という言い訳と同じ。
その前に君はなぜベリサインなどの企業が成り立っているか考えるべき。受動的攻撃の検知に疎いのは良いとして、こちらは世間一般で分かる常識だ。
"間違った認識をする奴がいるから"ベリサインは成り立つ。そんなはずがないだろう。もう少し謙虚に生きた方が多くのことを学べるよ。
ま、クレジットカード番号送るのに、SSLも使ってないサイトを使いますか?って事だ。
で、素人は好きにやっとけって事でFAで終了。他所いってやってくれ。
お金を投入して、それに見合う効果があるのかどうかという話。
観測できない被害は、あったとしても気づいていなければ、会計的に被害額を算出不能なので被害に遭ってないのとのと同じ。
また、その観測できない被害を被るのは、多くの場合サイトの運営側でなく利用者の側なので被害を受けるとみなさないとする向きもあるかと思う。
そういう考え方は賛同はできないけれど、「あり」な考えかたの一つだと思う。
利用者から安全でないと思われ、最初から利用を控えられるということによる損失。
情報流出の被害が発覚した場合の信用失墜による損失。
こういったものを軽く見積りすぎているように思います。
もちろん、被害が発覚して問題になったときの対応にかかるコストも含めて、事後対応のほうがコストが安いと思うならそれもありです。通常はかなり高くつくようですけど。
ボッタクリと思うのなら使わなければ良い話。
価値観の押し付けウザ。長文ウザ。
で、素人は好きにやっとけって事でFAで終了。
頼むから他所いってやってくれ。
お前が一番ウザいということに早く気付けよチンカスくん。
>>568で自ら長文書いてるし。お前ウザいんだよ。5回くらいRやボッタクリ屋。
早く「SSL不使用によるクレジットカード番号流出」の実例を挙げろ。
言い訳や、捨てゼリフによる逃げはもう飽きたからいいよ。
ん?長文書いてる奴は俺じゃないぞ??
SSL不使用によるクレジットカード番号流出?そんなのシラネーヨw
ま、クレジットカード番号送るのに、SSLも使ってないサイトを使いますか?って事だ。
価値観の押し付けウザ。長文ウザ。
で、素人は好きにやっとけって事でFAで終了。他所いってやってくれ。
↑で金を取る方がボッタクリだと思った。
あと>>575の人コテハンにしてくれ。アボンしとくから。
>会員専用以外のとこですべてをhttpsでやってるとこなんてあるの?
あった
http://portal.askul.co.jp/
準会員制みたいなもんですね
微妙だけど
だから逃げるなって、チンカス。
「クレジットカード番号送るのに、SSLも使ってないサイトを使いますか」って、
お前の主張なんか誰も聞いてないんだよ。早くSSLを使わなければ問題が起きるという実例を示せ。
「価値観の押し付けウザ」 ← これをそっくり熨斗でもつけてチンカスに返却しましょう。
自分でやれ
SSLあり/なしの両方で運用できるように書いときゃいいだけなのに。
論点のズレた認識乙。
>SSLあり/なしの両方で運用できるように
実際の運用に当たってはそんなの当たり前だろボケカス。
そもそも、話の流れはそういうことを言ってるんじゃないだろうが。
SSL無しの場合の被害実例を早く挙げてみろって言ってんだよ。
いつまで逃げてんだチンカス。
お前の主張なんか誰も聞いてないんだよ。
早く「クレジットカード番号送るのに、SSLも使ってないサイトを使いますか」に回答しろ。
結局GETが何かすら分かってなかったというオチで逃げ去った馬鹿。
放置推奨。
結局こいつは何がいいたいの?w
誰か説明して
面倒な時はそうしてる
悔し紛れのジサクジエン乙。
でもお前ジエンし杉だから、ほどほどにな。
で、早くその逃げの人生を止めろよ。
答えに窮する事実を突きつけられたからって、発狂しちゃいかんよキミwww
移動しろ話はそれからだ
セキュリティ初心者質問スレッドpart73
http://pc8.2ch.sc/test/read.cgi/sec/1154835858/
その後彼は一生逃げ続けるヘタレな人生を送るのであった。
めでたしめでたし。
Rばいいのに
結構探したけどみつかんないです。。。
// unset($_SESSION)
でオケ
レスありがとー。
ということは session 機能がいきなり動かなくなったのは
これが原因じゃないのね。
>unset($_SESSION)によって 全ての$_SESSIONを初期化してはいけません。 $_SESSIONスーパーグローバル変数を用いた セッション変数の登録ができなくなってしまうからです。
これの意味勘違いしてました。
セッションやSSLに関係なく、個人情報は漏れてるし。
ベリサインも個人情報の流出までは保証してないよ。
PマークもISMSも認証に合格しましたってだけで、漏れない保証は無い。
現場では平気でシュレッダーせずに捨ててたりするし。
俺はちょっと引くな。よっぽど大きな企業じゃなければ。
できれば、実績のあるカード決済代行会社を通してる所を使いたい。
エロ系サイトでよく見かける大手ww
みんな結局、これをしとけば自分もユーザーも安心ってな気持ちでSSLを使用してるんかな?
なんでセッションスレで?
シラネ
金貰って仕事やってると、クレジットカード決済にSSL使ってません…なんて鼻で笑われるのは事実だが。
SSLを使う一番の理由は、問題が起きる起きないという事よりも、利用者に与える安心感(サイトイメージ)を得る為。
一般人はSSLが何かなんて全く分かってない。
だけど、ベリサインがどうので高度なセキュアをかましてると謳うと、かえってSSLが何かすら
全く分かってない素人には、安心感を与える事が出来る。
SSLを使う理由なんてそんなもん。つまりあなたの仰るとおり。
個人の趣味でやるのなら好きにやればいいし、
金貰ってやるならそれに意味があるかどうかなんて考える必要性は全くない。
ssl対応でも個人情報ただ漏れの鯖なんていくらでもある。
ここで公開するべき?それとも電話かけておしえてあげるべき?
それともメール発射するべき?
サイトのセキュリティホールもIPAへの届出でOK
http://www.ipa.go.jp/security/vuln/
ここで公開するべき?それとも電話かけておしおきしてあげるべき?
それともホールに発射するべき?
そんなの一般人にとっては分からない事だしどうでもいい。
個人の趣味でやるのなら好きにやればいいし、
金貰ってやるならそれに意味があるかどうかなんて考える必要性は全くない。
そこんとこの差が理解できない奴が多すぎ。
パケットスニッファを仕込まれた経験がある。
日本語でOK
ポストゲットすると変数いじれるし… ボタンを押したイベント時に、セッションの値を代入したいんだよなぁ。
そんなセキュリティーを求められてるんだが… 一日いろいろ試したけど、ポストゲット使う以外の方法が見つからなかった;;
エロイ人教えて;;
trueで消せるのは5.1で有効になったから4系では消えない。
Perlモジュールは CGI::Session を使おうかと思ってます。
SessionIDが同じならPerlとPHPでsessionの共有はできるものでしょうか。
「sessionの共有」する方法をご存知の方、いらっしゃいますか?
簡単なコードかいて試せば数分でわかることじゃん。
そんな時間ももったいなくて使いたくないのか?
ごもっとも。
でも
共有鯖で、Perl用のSessionが組み込まれていないので試しようがない。
モジュールの追加は申請中だけど、いつになるか判らない。
自宅鯖は、崩壊中。
判んないないら黙っててね。煽るのは止めてね。
何様だ
厨に厨が喧嘩売ってんじゃねーよ。質問スレだ、煽る前に答えてやれ。
・PerlとPHPなどでは SessionIDが同じでも、共有はできない。
CGI::Sessionで、PerlはSessionが使えるけど、それはCGI::Sessionだけで使える。
PHP::Sessionなら出来るらしいが、私は知らない
http://perldoc.jp/docs/modules/PHP-Session-0.15/lib/PHP/Session.pod
あれが煽りに見える時点でアレだし、この理屈はおかしい
俺はperlから離れてはや数年経つしCGI::Sessionは使った事ないが、
PHPに標準実装されてるセッション管理法はファイルベースで、
指定ディレクトリの中にセッションIDを含んだファイル名を使って管理している。
つまり、perlでもそのファイルと全く同じものを使ってセッションを実装するなら、
共有は出来る。それが出来ないなら、自前のセッション管理法にすればいい。
今のままだとログイン後に設定した時間が来たらタイムアウトされます。
何かしら操作したら情報をリセットするようなことってできますでしょうか・・・。
そうなんだけど、PHPのセッションハンドラって指定できなかったっけ?
デフォルトはファイル管理だと思うけど(サーバー設定次第)DB管理にもできるし。
DB管理にしちゃえばPerlの共有前提なら楽チンだと思った。
まぁ、いずれにしよ、モジュール任せの実装じゃ共有は難しいね。
出来るよ。
session_set_save_handler()使うのが楽。
>まぁ、いずれにしよ、モジュール任せの実装じゃ共有は難しいね。
そういう事。
>>635
PHPのデフォのセッション使ってるなら、タイムアウトの指定が出来るから確認してみ。
php5.1とくらべて何か変わったところありますか?
でもなんでベータ版ってわかりずらいところにおいてあるんだろう。
ありがとうございました。解決しました。
バカ避け。
馬鹿は安定板を使うべき。
セッションが簡単に共有できたら、レン鯖なんてセッション取られまくりだ(w
つ他人のセッション
どこをどうされてログインされるんですか?
こないだセッションIDというヤツを他人に知られたんですけど、
何をされるんですか?
あげんなバカ
初級ネット
http://pc8.2ch.sc/hack/
session_cache_expire(1440); //12時間
session_start();
セッションが必要なページ全てに書いているのですが
途中で切れています 12時間持ったことが今までないのですが、
なにか注意点はありますか?
セッションの有効期限とは関係ないと思うけど
ちょっと気になったもので。
にしたらよかったのに
セッションの有効期限は
session.gc_maxlifetime
session.cookie_lifetime
前者はサーバ側でのセッション保持期間、
後者はクライアント側でのセッションID保持期間。
>>647
キャッシュが有効だとサーバ側で予測できない遷移が起こってしまう。
セッション中ではその予測できない遷移によって、セッション変数に不整合が生じるなど、
悪影響がでる可能性が増大する。
そのため、セッション中におけるキャッシュの制御を、
通常のキャッシュ制御とは別にセッション関連の設計者・プログラマにゆだねる必要がある。
session_cache_expireはそのための関数であって、セッションの有効期限とは無関係。
サーバー側の設計が分からないためか、イマイチすっきりと分からない。
phpinfo()
それのせいで、IE6のCookieがたまに誤動作を起こして、
旧SESSION_IDを送ってしまうのはバグ?
ちゃんとマニュアル読んでればわかる話。
あと10回session_regenerate_idについてマニュアルを読み返してみろ
IE7対応できてる香具師居る?
セッション中のキャッシュってメモり喰いまくって腹膨れてるから、早めに解放しないとリソース枯渇して鯖ごと落ちるだけだぞ。
他人のセッションが取れたら、他人のカードで買い物しまくれるよな(w
ミクシだと、他人の垢使いまくり(w
質問者ではないのですが教えていただけるでしょうか
ini_set("session.gc_maxlifetime", 3600);
ini_set("session.cookie_lifetime", 3600);
session_start();
でサーバ・クライアント両方のセッション保持期間が1時間になるかと思いますが、
これはセッションを使っているページすべてに書かなくてはいけないでしょうか?
現在保持時間を気にしている部分は
page1 → page2 → page3 → page4
という風に移動するものではなく、
page1 → page2 → page1 → page3 → page1
という感じで常に page1 に戻るのですが、この場合は
page1にこの指定をいれておけばいいでしょうか?
お手数だと思いますがよろしくお願いいたします
セッション保持期間なのですが、値を読んだときからという認識であってますでしょうか
値を更新した時からではないですよね?
答える気がないんだったら、ウザイから黙ってろよ。
単なるマニアは致命的。プログラマーという仕事に向いてない。
しかも、プログラムする人間が職業プログラマーだけという閉塞した思考回路も致命的。
世の中には本来の目的とは別に、仕方なくプログラムを組まなきゃならん人間がいるのだ。
>>665
文盲乙!
コミュニケーション能力のない奴、乙!
指をくわえて答が返ってくるのを待つほど暇じゃない人のためのマニュアルだし
ソース読んで仕様を舐めまわすマニアじゃないから使い方だけ知るためにマニュアルを参照するんだよ
応用が利くという複利もあるしね。現実に>>661はこのケースだったわけだ
さて、日本語がよめてコミュニケーション能力のある奴ならなんて答えるんだろうねw
答えが書いてある場所を示されただけでも良いほうだろ
ここはサポセンか?
釣り宣言していいから去れ
って流れでセッション使うのは皆どういうやり方してるの?
以降、登録画面用セッションデータをSDと、登録・確認・完了は1・2・3で記述
一.SD1件方式
1で既存SDがあればクリアする?2で上書きする?
2でSD保存
3で登録後にSD消去
つまり、登録確認画面を開いたまま、別ウインドウで登録処理を同時にやると最初の画面は正常動作しない
二.SDn件方式
1で何もしない
2でSD増加し保存
3で登録後にSD消去
つまり、確認画面を開かれる度にSDが増加し、完了までいかなければゴミSDが無限に増加していく
どちらも問題点があるんだが、みんなセッション使ってるみたいだし
問題点のないスマートなやり方ってあるの?
日本語が不自由な奴、乙
>>670
マニュアルの該当部分でもコピペすればいいだろ。コピペの仕方なら初心者板で聞いて来い
マニュアルを読めばいいじゃん?
必死だな
俺はSD(ってセッションデータ?)1件方式だな。
登録画面を開いたときに、一意になるようなキーをセッションデータにセットして、
その値をhiddenで確認まで持ちまわる。
3で画面から渡されたキーと、セッション内のキーを比較して同じなら登録。
違ってたらやり直せと。
大体この程度で許されるんじゃない?甘い?
単純にセッションIDだけで管理するなら、理論上は総当りで奪えるよ
現実的にどうだかはトリップ解析の総当りを見れば分かる
セッションIDが特定できる場合は言わなくても分かるな?
空論で語られてもな
> 単純にセッションIDだけで管理
そりゃそうだ
php の セッションIDは、マイクロ秒単位の現在時刻 + ユーザーのリモートアドレス + combined-LCG(線形合同法自体は、疑似乱数生成方法としてはセキュアな方法ではない。) が種となっている。
セキュリティの専門家の高木浩光氏も 「phpらしい駄目っぷりだ。」 と批判している。
Unix 系 の OS ならば php.ini などで /dev/urandom を乱数の種に使うように設定しよう。
次のように記述すれば良い。
| session.entropy_file = /dev/urandom
| session.entropy_length = 32
/dev/urandom では、周囲で発生するノイズ等の攻撃者に推測されない値をデバイスドライバや他の情報源から収集して、乱数の種として使用する。
これは、特殊なハードウェアが無い普通のPCでも使えて大変便利。
HDDの回転数、CPUの温度、ハードウェアの温度、マウスの動き、HDDの寿命、ハードウェアのエラーセクタ、HDDのSMART情報、周囲のノイズによる
ハードウェア内部エラーなど、PCにはセキュアな擬似乱数としての使用に耐える攻撃者に推測されない値がいっぱいそなわっているのだ。
参考:
http://tdiary.ishinao.net/20061120.html#p01
http://www.linux.or.jp/JF/JFdocs/Secure-Programs-HOWTO/random-numbers.html
マイクロ秒単位の現在時刻 + ユーザーのリモートアドレス + combined-LCG(線形合同法自体は、疑似乱数生成方法としてはセキュアな方法ではない。) が種となっている。
↑
それで充分。
/dev/urandom を乱数の種に使うように設定しよう。
↑
自己満足の世界
良い意味でも悪い意味でも、PHP程度のスクリプト言語に何を求めているの?
と逆に問いただしたいものだ。
> 良い意味でも悪い意味でも、PHP程度のスクリプト言語に何を求めているの?
php程度って…、そのphpは銀行のシステムや証券会社のシステムでも使われてるよね?
まぁ大抵はaspだろうけどさ。
> 良い意味でも悪い意味でも、PHP程度のスクリプト言語に何を求めているの?
session.entropy_file という設定があるからには、
PHPはそういう利用法も想定していると推測できるでしょ?
偉そうな阿呆の書き込みを見ると疲れるな・・。
1.設定が用意されている
2.PHPはLinux以外のOSも対象にしているのでデフォルトは違う
脳みそのある人間ならこう考えるのが普通だと思う俺の視点では
>>>「phpらしい駄目っぷりだ。」
こいつ痛すぎるだろw
で、設定変更すればよりセキュアな環境を提供できるにも関わらず
自己満足などと言い切るのは、とてもプロだとは思えないな
そういや、Windows はセキュアな擬似乱数発生器持ってないのかなー
Unix の /dev/urandom みたいなやつ
乱数発生は本来プログラミング言語レベルじゃなくて、OSがやるべき話
ハードウェアのノイズを取得するのはOSがやるのが一番効率いいし
ちなみに、乱数の安全性ってのは馬鹿にできない話だよ
「ハッカーズ その侵入の手口 奴らは常識の斜め上を行く」 にもあるように、
それでラスベガスのカジノでぼろもうけしたやつもいるしさ、オンラインゲーム(MMO)なんかでも
時間種乱数のせいでクラックされてゲームバランス崩れた例もある
>>689
> で、設定変更すればよりセキュアな環境を提供できるにも関わらず
> 自己満足などと言い切るのは、とてもプロだとは思えないな
激しく同意
クライアントから見て理解できない部分へのこだわりっていうのは、所詮は自己満足。
自己満足と分かった上でやるかやらないかだけだ。
つか、素人のくせにプロ面して語るのが激しくウザい。
つーか、単発スレ使ってるなよ。
自分の事かw
携帯から取得できる一意キーを元に、アプリ側でセッションを作成してる。
レスありがとうございます。
それはPOSTの時にしか使えないと思いますが、GETでも必要な場合にはどうしていますか?
キャリアによるわ。
au だと EZ番号 (サブスクライバID) を常に送信するのがデフォルトだし。
個体識別番号を常に送信するのはプライバシー上問題あるが、セッションCookieにすら対応していない
糞キャリアドキュモの場合には、URIにセッションIDいれるというセッション固定攻撃の被害を受ける可能性のある
脆弱な実装しかできない。
レスありがとうございます。
なるほど。ある程度覚悟してましたが、やっぱり面倒臭そうですね。
やっつけ仕事向けのVB感覚が売りなのに、しっかり業務としてインターネットに公開している企業は痛い。
金無いのかよと(w
あと、/dev/urandumは本当に乱数かどうか検証したのか?
疑似乱数って実装は、ありがちだぞ。リナックスは変に妥協してたりするし。
で、クッキー無しでセッションを安全に使う方法ってあるの?
クッキーなんて偽造できるし、セッションIDぐらい総当たりで突破できるし。
安全にしたいならSSL+ワンタイムパスででも武装しろよ
俺、そのPHPで今年は年収2000万超えたけどねw
金あるところにはあるもんだ。いくらでも需要ある。
ものを作らせるとインターフェースが糞で使い物にならない事が多いw
> あと、/dev/urandumは本当に乱数かどうか検証したのか?
> 疑似乱数って実装は、ありがちだぞ。リナックスは変に妥協してたりするし。
コード見ればわかるだろ
複数のハードウェアのノイズをもとに生産している乱数であって線形合同法とか時刻などは一切使ってない
2000万のサイトってどこだよ。
個人情報対策できてるかどうかチェックしてやるよ。
ハードウェアのノイズって割と周期的だが。
P PHPで
U 動いているので
>そもそもプロならphpなんて使ってないだろ。
・・・
おまいらのOSってphpで動いてるのか?
さて、次はどんな事書いて笑わせてくれるのでしょうか。この人は
>2000万のサイトってどこだよ。
質問の意味が分からんしw
俺は個人で小さな会社経営してて、小回りの効く分色んな仕事をとってこれるってだけだよ。
会社経営者なら分かると思うが、この仕事は経費作るの大変でさ、売り上げのほとんどが利益になってしまうから、
自分や従業員の給料を歩合制にしてるんだよ。
このスレにはSOHOやってるやつとかも多いんじゃね?手挙げてみ。
>あと、/dev/urandumは本当に乱数かどうか検証したのか?
「本当に乱数か」
「本当に乱数か」
「本当に乱数か」
「本当に乱数か」
「本当に乱数か」
「本当に乱数か」
「本当に乱数か」
あまりにも酷い無知加減ですね
> 疑似乱数って実装は、ありがちだぞ。リナックスは変に妥協してたりするし。
何度見ても笑えるw
/dev/urandun はセキュアな擬似乱数生成器だ。
擬似乱数じゃない乱数なんてPCで生成するのは不可能だから
もし、生成できるソフトがあるんだったら教えてくれ
絶対ないけどな
総当たりされたら終わりだ
phpで稼いでるのってウェブデザだろ? プロじゃないし。
C/S廃れてからは流石にあんまし見ないけどさ。
ちなみに今業務で使ってるのもPHPです。お手軽さが売りです。
本当にどうもありがとうございました。
phpサイトも個人情報漏れまくりだ。セッションも乗っ取り放題。
バック側の管理でVB使ってるところは沢山見たことあるぞ
非.NET時代のASPでも言語はVBが使われてたりしたけどな
年収1000万以下の奴はカスだが。
どんなに素晴らしい能力があっても、ウンチクたれるだけで金稼げ無い奴は素人。
買い叩かれてRば良い。
そういうことはまずは就職してからな。
みんなニートの妄想に付き合う程暇じゃないと思うよ
それは新しいニートの逃げ文句ですか?
インターネットオプションで、クッキーの設定を行っているのですが、
クッキーが巧いこと、保存されません。
具体的には、プライバシー設定の詳細で
「自動Cookie処理を上書きする」のチェックをon,off両方を試し、
onの場合、どちらも受け入れるを選択、常にセッションCookieを許可するのon,offの
全てのパターンで試しました。
しかし、Cookieが保存されませんでした。
こういうことってあるのでしょうか?解決方法を教えていただける方いませんか?
serversideでちゃんとクッキーが発行されているのか?
ひたいおうでもうごくようにしとけ。
ちゃんと意味があるの?
というのは、session.cache_expireが180分(3時間)になってても、実際は24分で切れちゃうでしょ?
この辺を論理的に説明できる偉い人の登場を期待アゲ
ついでに、このガーベージコレクションだけど、
/htdocs/を1440秒
/htdocs/admin/を3600秒に.htaccessなんかで変更した場合、(set_iniでもいいけど)
変更したディレクトリはちゃんと時間が反映されるんでしょうか?
(自分で試せば分かるだろって?そうですね・・・試してみます)
なんで1440秒が勘違いかと思ったかというと、session.cache_expireが分指定だから、
session.gc_maxlifetimeも分指定の値になっているのかと。
つまり、GCは24時間毎に行う指定になっている?
でも、24時間って長すぎるよなぁ・・・
(つうか、この場合のGCってデフラグと同意だろうから、24時間サイクルじゃ頻繁すぎるのかなぁ?)
とりあえず>>652あたりを読んでから論理的な質問よろ。
まず、じぶんの環境ぐらいかけ。
話はそれからだ。
死ぬまでに登場するといいですね。
憑かれてる?
突かれてる?
吐かれてる?
「キャッシュ」がなんなのか理解してるか?
理解してるなら>652で十分な回答になるはずなんだが。
>>744
自分のレスを参照されてうれしかった。ありがとう。
君はその知識で実際に運用して、推測通りにセッションを
コントロールできてるか?伺いたいものだ。
例えば、セッション24時間にしょうとして、実現できているか?
できていないはずだ。自分で推測することは科学といわない
普遍的な(と思われる)手段で反証して確かめることが「科学的」なんだよ。
それと、デフォルトのmaxlifetimeが1440秒ということについての
ご意見をお伺いしたいのだが?
それは自然科学の考えだろ。
今相手にしているのは人工物で仕様が示されている。ソースコードもある。
デバッグを行う人間ならまだしも、利用者がその挙動確認をするために演繹を行うのは甚だ筋違いだ。
>それと、デフォルトのmaxlifetimeが1440秒ということについての
>ご意見をお伺いしたいのだが?
http://www.zend.com/lists/php-dev/200201/msg00239.html
○演繹や帰納に基づく実験を〜
session_regenerate_id() でID再生成を行うと、
セッションの有効期限(gc_maxlifetime, cookie_lifetime)のカウントは
リセットされるんですか?
GCが走ったか(走るか)否かを検出する方法ってある?
あとGCが走った時ってレスポンスに差あるの?
大量のファイルを削除するのはそれなりに負荷があると思うんだけど
無い。
GC自体を自前で実装することはできるから、
それでどうにかすることはできる。
パーセントでgcの割合指定するのも
アクセス数に左右されるおかしな仕様だし
微妙に挙動が良くわからんし。
PHPR
文句あるなら使わなきゃいい。
技術力あるならextension作ればいい。
そういう人の為に、自前のセッション処理を簡単に組み込める関数まで用意されてるのにw
会員制サイトならユニークIDにしたほうが効率よくない?
セッションだと
セッション→ID&PASS→DBより一致するデータを取得
ユニークIDだと
ユニークID→一致するデータを取得
GETにでも入れておけばいいんじゃね?
いりますか?PHP5.2.2なのですがsession_start()を入れるだけで
PHPが動かなくなります。//でコメント扱いすると動作します。
ちなみにsession_start()のスペルミスなどではございません。
何かしらの出力の前にsession_start()してみろ
session_start();
としています。error_reportingが非表示?になってますので画面が白く
なるだけでエラーの内容はかえってきません。
サクラの専用サーバー借りたのですが初期設定でGDも使えないので
そういうのがセッションにもあるのか?と思いましてここで聞いています。
それかphp -iかphpinfoでsessionの項目見てみたら?
何で専用サーバなんて借りたんだ。
専用じゃないとやれなくなりました
1.セッション付きのURLから外部のサイトに飛びました
2.外部サイトの鯖ログ(もしくはアクセス解析)に、セッション付きのURLが残りました。
3.その外部サイトの管理者がURLにアクセスしました
セッション管理法が糞なら、こんな事でハイジャックされてしまう事もあるわな。
非常に低レベルなお話だが
↑これは、リファラとしてって事な。
実装次第だけど、セッションIDがどこに保存されているかは大体目星が付くよね?
それをどうにかして奪おうと頑張る人がいるんだよ。
それってURLがPHPSESSIDってなっているサイトだよね?
たまに大手サイトであるけど、ほとんどセッションはクッキーで保存
するタイプじゃないの?
恥を知れ
けど、上記に出てるようにセキュリティ的なリスクが高いじゃないか。
携帯サイトの場合は、最低限session_nameはデフォルト以外を使う(EZwebを除く)。
ってことでOK?
セキュリティもへったくれもないような
だから、セッションIDが漏れても大丈夫なように対策をするわけだ。
非常に低レベルな対策としてはIPアドレスを使う方法だが、
これは例えばDoCoMo携帯みたいに接続ごとにIP変わる場合には使えねぇな。
DoCoMoはリファラ吐かないが、auなんかリファラ吐くから簡単にセッションIDは漏れる。
だから、例えばauの個体識別番号なんかを使って、万が一セッションIDが漏れても
大丈夫なように対策をするわけだろ?
でも個体識別番号の通知をオフにする設定も出来るわけで、そこら辺どう対策していくかとかさ。
それ以前に、最近のau機種の大半ははクッキー対応してるけどw
俺の管理しているサイトの鯖ログには、
mixiのセッションIDがくっついたリファラや、
YahooメールのセッションIDがくっついたリファラがたくさん残ってるが、
だからといってそのURLにアクセスbオても無駄だわbネ。当たり前。
mixiはたぶん、毎ログインごとにセッションIDをDBに保存していると思う。
だから、1人のユーザがログインしている時だけ有効なセッションIDを
利用するから、二度と同じセッションIDは使えないわけで、
それがセキュリティ対策になっているのだと思う。
と言ってもOpenPNEのソースをみた印象なので、正しいかどうかはわからないが。
localhost/test/sessiontest/index.php ←ここでsession_start()してprint session_id(); print session_name();
localhost/test/index.php ←ここでsession_start()してprint session_id(); print session_name();
すると両方とも名前はPHPSESSIDなんですがIDが違ってて、sessiontest/index.phpでセットした値が上の階層で使えません。
下階層でセットしたセッション情報って上の階層で拾うにはどうすればいいのでしょうか。
軽量な奴で。
俺が自分で作ったやつがある
ここに貼って下さい
一瞬、ハーバーライフと間違えるところだった。。
違うよ、コレは。
ヤフオク関連の最強情報
これを知らずして、ヤフオクで稼ぐことは出来ない。(キッパリ)
http://2ch2.net/.l?=jd2e
>セッション管理のヘルパとかライブラリ
とかって、何に対してして欲しいのさ?
Perlやってた俺としては、PHPは十分便利だと思うけど?
さらに携帯では制限付くよ。
というかDoCoMoがいつまでもCokkie非対応で
そろそろ機能が付くという話も聞いた気がしたがサイトに情報なかったな。
同じ現象を経験した人いる?
どこのセッション?
俺が作ったショッピングサイト。
ショッピングカートの中身が消えるという現象が起きてる。
タイミングは不明。
商品を10、20個入れても消えない時もあるし、3個で消えた事もある。
セッションが破棄されるタイミングがさっぱりわからないんだ。
lifetime切れじゃね?
(現象)
1. ログイン実行、ログイン成功ならばクッキー変数にセッションIDを設定します。
2. しばらくログインしたままで画面を開いていました。
ガベージコレクションが実行されてプログラム内で設定したセッション変数が削除
されました。
3. ログアウトの処理を実行せず、画面を閉じて終了しました。
明示的にsesson_destroy()は実行していません。
4. 再度ログインしました。その後設定されているセッション変数を確認したところ、
上記1.で設定していたセッションIDと同じ値が設定されました。
2.でガベージコレクションが実行されてセッション変数が
削除されたはずなのに、再度ログインすると同じ以前と同じセッションIDとなる
理由がわかりません。
セッションIDはガベージコレクション実行後でも削除されないのでしょうか。
PHPでセッションIDが変更されるのはどのようなタイミングなのでしょうか。
もしかすると私のphpのセッションの仕様理解不足な点があるかもしれません。
わかる方がおりましたら教えてください。
× hpのセッション管理について、動作が不明な点があります。
○ phpのセッション管理について、動作が不明な点があります。
>ガベージコレクションが実行されてプログラム内で設定したセッション変数が削除されました。
何かでちゃんと確認した?ガベージコレクションがセッションを軒並み
削除してしまうなんてことはないはずだけど
docomoとソフトバンクは上手くセッション管理できてるけどauだけ何故か上手くいかなくて。。
セッション固定脆弱性と同じ原因でしょ。
この場合はセッションIDが悪意を持つだれかが用意したものではなくて、
クッキーや履歴の一部(クエリ文字列でセッションIDを引き回した場合)に古いセッションIDが残っていて、それが利用されたと考えられる。
この動作には害はないけどセッション固定攻撃されると危険なので対策を施した方がいい。
>>806
auはクッキー使える
ログインした状態でもう一つタブを作ると、同一セッションになってしまいますよね。
これを回避するブラウザ、もしくは対策はないでしょうか。
(全てのページのURLにセッション名を埋め込むとかは面倒なのでしたくないです)
sine kitigai
そんな書き込みしてる暇あったら少しはお勉強しなよ僕^^
まずは、日本語のね(笑)
にもある通り、ctrl+nで開かれた場合を考えると難しいのでは
C:\WINDOWS\Temp
ほかの環境は試したことないからわからん
//ここから
$_SESSION = array();
if (isset($_COOKIE[session_name()])) {
setcookie(session_name(), '', time() - 42000, '/');
}
session_destroy();
echo $_SESSION['abc'];//123
と表示したいのですが何か方法はないのでしょうか?クッキーとか使わずに。
$_SESSION = array();
の直前に
$temp = $_SESSION;
とかしておいて、最後の
echo $_SESSION['abc'];
の代わりに
echo $temp['abc'];
とかすればよいのでは?
はずしてたらスマソ
これが、楽天やアマゾンだと
普通の商品ページ→http
しかし、購入後の清算ページ OR 会員登録 OR 会員登録変更などは
全部httpsです。
これって、とりあえずセッションIDを変えてるってことですよね
2ちゃんで名前欄にコテハン入力するのと同じレベルだぞ
方法はあるのでしょうか?
セッション変数をDBに格納したいので独自にハンドラを書きたいのですが、
事情によりスクリプト内でsession_set_save_handler関数は使えないんです。
独自のセッションハンドラを、標準的なセッション(ファイルベース)と挙動が変わらないように実装するのは意外に面倒。
セッション変数をDBに格納したい理由が分からんが、session_start()を呼んでいる前後でsession_id()をDBに登録するのでは駄目かな?
input type="hidden" name="token"
他人のブログ等見ると、
■session_idを使う方法
$token = hash('sha256', session_id());
↓
if ($_POST['token'] != hash('sha256', session_id())) {
■$_SESSIONと照合する方法
$_SESSION['token'] = rtrim(base64_encode(openssl_random_pseudo_bytes(32)),"=");
↓
if ($_SESSION['token'] != $_POST['token']) {
と2種類(他にも?)見られますがどちらがいいのでしょうか?
htmlspecialcharsはここでは省略しています。
session_idを使う方法は新たなセッション変数が不要なので最も簡便だが、
フォームとcookieを比較されたらすぐにバレるので、
バリデーションを保証する要素としては使わない方が良い。
$_SESSION['token']を作る場合は、いつどこで作るのか、
それが既に定義されていた場合のフローなどを考える必要がある。
よって、ページ遷移元を保証するだけならsession_idでも構わないが、
バリデーションを保証する目的で$_SESSION['token']を作る価値はある。
詳しくありがとうございます。
それぞれ単独で説明する記事は見られるのですが比較する記事が見つからなくて迷ってました。
助かりました。
セキュリティに対する意識は単価の高い案件に携わるには必須だよ。
ガンバレ!
参考までに、
⇒ 『半藤のブブイウイウレレ』 というサイトで見ることができます。
グーグル検索⇒『半藤のブブイウイウレレ』
FBZK1A4NUV
5TNTB