元スレ【PHP】セッションについて語ろう!【PHP】
php覧 / PC版 / みんなの評価 : ○
前へ
502 = :
>>501
あれっ、mixiのクッキー内にそんなデータあった??
俺見てみたけど、見当たらないぞ・・・
っていうか「BF_STAMP」って何を指してるんだろう? BFが何の略なのかも気になる。
503 = :
>>501
言いたいことは分からないでもないが
セッションオンリー
って言葉はどうなの?
>>502
独自のセッションを実装してるみたいだね
ワンタイムパスワードみたいなのを3つくらい返してる
mixiって同じIDで別の端末からも利用できるの?
できるんならサーバ側の情報管理はたいへんそうだな
504 = :
>>503
たしかにワンタイムパスワードみたいなのがあるね。
でも何回かログインとログアウトを繰り返してみたところ、
そのワンタイムパスワードみたいなのは変化しなかった。
ってことは「ワンタイム」じゃない!?
505 = :
>>504
ってことはmd5とかで変換しただけのものを
クッキーに保存して毎回アクセスするたびに認証してるだけだね
セッションじゃないじゃん
一番確実な方法だと思うが
セキュリティ的にはhttpsでもないしだめだと思う
508 = :
mixiは招待無しで参加できないの?
509 = :
無理
510 = :
そこをなんとか
511 = :
>>506が神に一歩近づきました。
mixiはDBもロードバランスしてたりするから、
セッション管理とかもやたら複雑なんだろうなぁ。。。
もっと小規模のSNSだったなら、そこまで複雑なCOOKIEにならないで済むのかな?
たとえばOpenPNEとか。使ったことないけど。
512 = :
>>511
> >>506が神に一歩近づきました。
> mixiはDBもロードバランスしてたりするから、
> セッション管理とかもやたら複雑なんだろうなぁ。。。
レイヤ7スイッチなら関係なし
513 = :
通常完全ランダムなハッシュを一つクッキーに入れるのが一番良いんだと思うんだけど、
なんかmixiは色々と入れてるんだね。しかも会員情報と関係する物を。
514 = :
>>513
完全ランダムなハッシュ?
どうやって認証するの?
セッション使うってこと?
515 = :
ログイン時にランダムなハッシュをクッキーとして渡して、鯖側でユーザと結びつけて管理。
いや、別に変わった事言ったわけではないっす。セキュリティを確保する為の問題はそこからだよね。。
516 = :
っていうか普通そうすると思うが
518 = :
>>515
> ログイン時にランダムなハッシュをクッキーとして渡して、鯖側でユーザと結びつけて管理。
sessionと何が違うんだ?
521 = :
セッションを実装するには、何もPHPで標準で用意されてるセッションを使わなくてもいいよ
って事が言いたいのでは?違うか??
522 = :
>>520
PHPのセッション関数によって発行されたセッションIDをクッキーに渡すんじゃダメなの?
>>518も書いてるが、セッションIDとは別にわざわざハッシュ値を用意する意味がよく分からない。
524 = :
>>523
>自前でセッションハイジャック対策やってるんだが、
>そうなると確かにsessionは使えない
どうして??
525 = :
対策としてログイン時のホストとUserAgentをセッションと結びつけてる。
これをsessionでやろうとすると結果的にハッシュが二重に保存される上に処理にロスが出る。
526 = :
>>525
言ってる意味がわからん。
なんか無駄に難しく考えてないか?
527 = :
https使わない馬鹿なんていないから大丈夫。
528 = :
そろそろセッションはPHPが普及する前からあるときがついてくだしあ。
530 = :
>>529
ごめん。書き忘れてたんだけど、
複数のアクセスポイントからアクセスする人もいるから、
一つのユーザに複数のセッションを割り当てて管理してます。
その過程でIDと複数のセッションを関連づけてるんだけど、
sessionだとIDからセッションの逆引きが出来ないので。。
ちなみに、ホストが変わるのは適度にマッチングして対応しています。
ところでNonSSLでセッションハイジャックを完全に防ぐ方法ってあるかな?
無理だよね。。まぁ、SSL使えって話しなんだろうけど。
531 = :
>>530
SSLでも完全には防げないし
532 = :
物理的アクセスとかウィルスはやめてください><
そういや、ny系のウィルスでCookieやらをzipにして流すのがありましたね。
533 = :
>>530
っていうかSSLは通信内容を暗号化するだけで、
セッションハイジャックを防ぐ手段とは関係ないわけだが。
534 = :
いやー、そりゃねーだろー。
不安になって確認しちまったじゃんか。ぐぐればざくざく出てきますぜ。
535 = :
じゃそういうことで。
536 = :
誰か533を俺にも分かるように解説してくれ
537 = :
>>536
ぐぐればざくざく出てきますぜ
538 = :
そんなセッションな、
539 = :
というか、ログイン認証時以外にも常にHTTPSで通信するなんて
実用的には無理があるよな。
mixiみたいに、認証時以外はHTTPにするしかないだろ。
負荷やレスポンスなどを考えると。
540 = :
mixiはセッション管理的にアレだけどな。
重要な情報をやりとりするとき以外はhttpでいいんじゃね。
YahooもBiddersも楽天だってAmazonだってそうしてるし。
鯖側よりクライアントに負荷の比重を置くセキュアプロトコルが欲しいところだな。
541 = :
https通信時にどういうやり取りが行われてるか見ればわかると思うが、
負荷を考えるのであれば全てをhttpsでやろうとするのはナンセンスだよな。
1日10アクセスぐらいのサイトなら好きにすりゃいいけど(w
544 = :
っていうかさぁ、みんな「セキュリティ、セキュリティ・・・」って念仏のように唱えてるけど、
実際にSSLを使わずに重要情報をスニファされた事件って、実例あるの?
そんなもん、いまだに聞いたことないんだが。
545 = :
泥棒に入られたことなくても、家に鍵かけるだろ?
546 = :
>>545
実際には存在しない「架空の泥棒」を生み出して大騒ぎし、
人々の恐怖心を煽って大儲けしているヤツらがいることに少しは気付こう。
だからキミらはいつまで経っても搾取され続けるんだよ。バカだから。
そんなキミらは映画『ボウリング・フォー・コロンバイン』でも見ると良い。
547 = :
まぁ、プロと素人の意識の差だね。
素人の趣味でやるなら好きにすりゃいい。
548 = :
>>547
論点のすり替え乙。
意識だのプロだの関係ない。
ただ単に想像の産物で騒いでるお前みたいなバカのことを笑ってるだけだよ。
549 = :
セッションでメモリリークの次はこんな話題かw
本当レベル低いよな。
550 = :
そもそもSSLの是非を問うスレじゃないんだが…
みんなの評価 : ○
php一覧へ類似してるかもしれないスレッド
- 【PHP】フレームワークについて語るスレ13【総合】 (985) - [58%] - 2009/9/23 3:04 ○
- 【PHP】フレームワークについて語るスレ10【総合】 (1001) - [58%] - 2008/8/24 19:04 ○
- 【PHP】フレームワークについて語るスレ10【総合】 (1001) - [58%] - 2008/12/23 16:48 ○
- 【PHP】フレームワークについて語るスレ12【総合】 (994) - [58%] - 2009/3/19 13:46 ○
- 【Perl】何をやれば「出来る」といえる?【PHP】 (185) - [45%] - 2019/5/9 7:46
- PHPでオークションサイトを作ろう! (294) - [44%] - 2019/5/9 7:45 ○
トップメニューへ / →のくす牧場書庫について