のくす牧場
コンテンツ
牧場内検索
カウンタ
総計:127,062,853人
昨日:no data人
今日:
最近の注目
人気の最安値情報

    私的良スレ書庫

    不明な単語は2ch用語を / 要望・削除依頼は掲示板へ。不適切な画像報告もこちらへどうぞ。 / 管理情報はtwitter
    ログインするとレス評価できます。 登録ユーザには一部の画像が表示されますので、問題のある画像や記述を含むレスに「禁」ボタンを押してください。

    元スレ【PHP】セッションについて語ろう!【PHP】

    php スレッド一覧へ / php とは? / 携帯版 / dat(gz)で取得 / トップメニュー
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : - タブ + - メモリ + 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。
    レスフィルター : (試験中)
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitter
    501 : nobodyさん - 2006/07/28(金) 21:47:39 ID:???.net (-21,-29,-115)
    >>500
    >セッションオンリー
    ブラウザを終了したらクッキーを破棄するかどうか(これがオンだと有効期限は設定されない)

    「次回から自動ログインする」にチェックしたらセッションオンリー=オフで有効期限5年のクッキー
    チェックしなかったらセッションオンリー=オンのクッキー
    という使い分けみたいですね。
    502 : nobodyさん - 2006/07/28(金) 22:13:32 ID:???.net (+28,+29,-49)
    >>501
    あれっ、mixiのクッキー内にそんなデータあった??
    俺見てみたけど、見当たらないぞ・・・

    っていうか「BF_STAMP」って何を指してるんだろう? BFが何の略なのかも気になる。
    503 : nobodyさん - 2006/07/28(金) 23:41:45 ID:???.net (+39,+29,-108)
    >>501
    言いたいことは分からないでもないが
    セッションオンリー
    って言葉はどうなの?

    >>502
    独自のセッションを実装してるみたいだね
    ワンタイムパスワードみたいなのを3つくらい返してる
    mixiって同じIDで別の端末からも利用できるの?
    できるんならサーバ側の情報管理はたいへんそうだな
    504 : nobodyさん - 2006/07/29(土) 02:55:05 ID:???.net (+43,+29,-67)
    >>503
    たしかにワンタイムパスワードみたいなのがあるね。
    でも何回かログインとログアウトを繰り返してみたところ、
    そのワンタイムパスワードみたいなのは変化しなかった。
    ってことは「ワンタイム」じゃない!?
    505 : nobodyさん - 2006/07/29(土) 09:11:18 ID:???.net (+38,+29,-60)
    >>504
    ってことはmd5とかで変換しただけのものを
    クッキーに保存して毎回アクセスするたびに認証してるだけだね
    セッションじゃないじゃん

    一番確実な方法だと思うが
    セキュリティ的にはhttpsでもないしだめだと思う
    506 : nobodyさん - 2006/07/29(土) 11:57:07 ID:???.net (-18,-30,-199)
    気になったからみてみた>mixi

    BF_SESSION
    が 999_jidjaijdiojaidjhifjaj1399
    みたいになってて先頭の数字が会員IDで後ろは
    会員に対するランダムな文字列
    (ってことで会員IDもかかれてるよ)

    BF_STAMP
    がパスワードになにかしたもの。
    (パスワードを変更すると変化する)

    BF_LOCAL_SESSION
    が一時的なセッション管理用っぽい。

    認証はCOOKIE(BF_SESSIONとSTAMP)で管理して
    一時的なセッション情報(すぐに消えてもいいもの)を
    BF_LOCAL_SESSIONのほうでやってると思われ。

    ちなみに BF_ がなんの略かは分からない。
    508 : nobodyさん - 2006/07/29(土) 13:13:55 ID:???.net (+22,+24,-41)
    mixiは招待無しで参加できないの?
    509 : nobodyさん - 2006/07/29(土) 13:30:05 ID:???.net (+11,+23,+0)
    無理
    510 : nobodyさん - 2006/07/29(土) 13:37:05 ID:???.net (+17,+29,+0)
    そこをなんとか
    511 : nobodyさん - 2006/07/29(土) 15:33:58 ID:???.net (+33,+29,-84)
    >>506が神に一歩近づきました。

    mixiはDBもロードバランスしてたりするから、
    セッション管理とかもやたら複雑なんだろうなぁ。。。

    もっと小規模のSNSだったなら、そこまで複雑なCOOKIEにならないで済むのかな?
    たとえばOpenPNEとか。使ったことないけど。
    512 : nobodyさん - 2006/07/29(土) 22:34:06 ID:???.net (+29,+29,-39)
    >>511
    > >>506が神に一歩近づきました。
    > mixiはDBもロードバランスしてたりするから、
    > セッション管理とかもやたら複雑なんだろうなぁ。。。
    レイヤ7スイッチなら関係なし
    513 : nobodyさん - 2006/07/29(土) 23:50:54 ID:???.net (+42,+29,-34)
    通常完全ランダムなハッシュを一つクッキーに入れるのが一番良いんだと思うんだけど、
    なんかmixiは色々と入れてるんだね。しかも会員情報と関係する物を。
    514 : nobodyさん - 2006/07/30(日) 00:07:51 ID:???.net (+28,+26,-25)
    >>513
    完全ランダムなハッシュ?
    どうやって認証するの?
    セッション使うってこと?
    515 : 513 - 2006/07/30(日) 00:19:58 ID:???.net (+31,+29,-50)
    ログイン時にランダムなハッシュをクッキーとして渡して、鯖側でユーザと結びつけて管理。
    いや、別に変わった事言ったわけではないっす。セキュリティを確保する為の問題はそこからだよね。。
    516 : nobodyさん - 2006/07/30(日) 10:32:58 ID:???.net (+22,+29,+0)
    っていうか普通そうすると思うが
    518 : nobodyさん - 2006/07/30(日) 14:03:10 ID:???.net (+24,+21,-27)
    >>515
    > ログイン時にランダムなハッシュをクッキーとして渡して、鯖側でユーザと結びつけて管理。

    sessionと何が違うんだ?
    520 : nobodyさん - 2006/07/30(日) 16:57:26 ID:???.net (-29,-29,-3)
    >>518
    sessionid 以外にハッシュを渡して
    認証済みチェックをやるってことだろ

    >>519
    ???
    521 : nobodyさん - 2006/07/30(日) 17:04:19 ID:???.net (+27,+29,-45)
    セッションを実装するには、何もPHPで標準で用意されてるセッションを使わなくてもいいよ
    って事が言いたいのでは?違うか??
    522 : nobodyさん - 2006/07/31(月) 03:14:10 ID:???.net (+25,+27,-109)
    >>520
    PHPのセッション関数によって発行されたセッションIDをクッキーに渡すんじゃダメなの?
    >>518も書いてるが、セッションIDとは別にわざわざハッシュ値を用意する意味がよく分からない。
    523 : nobodyさん - 2006/07/31(月) 04:58:39 ID:???.net (-11,-29,-62)
    CookieをSecureにすると負荷で死ぬから、うちでは自前でセッションハイジャック対策やってるんだが、
    そうなると確かにsessionは使えないな。常にSSL使える環境なら標準のでいいんじゃね?
    524 : nobodyさん - 2006/07/31(月) 15:31:17 ID:???.net (+24,+29,-28)
    >>523
    >自前でセッションハイジャック対策やってるんだが、
    >そうなると確かにsessionは使えない

    どうして??
    525 : 523 - 2006/07/31(月) 23:55:35 ID:???.net (+2,-28,-44)
    対策としてログイン時のホストとUserAgentをセッションと結びつけてる。
    これをsessionでやろうとすると結果的にハッシュが二重に保存される上に処理にロスが出る。
    526 : nobodyさん - 2006/08/01(火) 04:10:24 ID:???.net (+24,+29,-6)
    >>525
    言ってる意味がわからん。
    なんか無駄に難しく考えてないか?
    527 : nobodyさん - 2006/08/01(火) 04:31:43 ID:???.net (+24,+28,+3)
    https使わない馬鹿なんていないから大丈夫。
    528 : nobodyさん - 2006/08/01(火) 05:39:58 ID:???.net (+27,+29,-31)
    そろそろセッションはPHPが普及する前からあるときがついてくだしあ。
    529 : nobodyさん - 2006/08/01(火) 07:18:30 ID:???.net (-24,-29,-79)
    >>525
    それを実装したいなら、セッション変数にホストとUA入れればいいじゃん。
    ただし、既出のように、それだけではセッションハイジャックを完全には防げないし、
    ホスト(IPアドレス)がHTTP接続ごとに変わる環境のやつが利用できなくなる罠。
    530 : 525 - 2006/08/01(火) 08:56:31 ID:???.net (+38,+29,-150)
    >>529
    ごめん。書き忘れてたんだけど、
    複数のアクセスポイントからアクセスする人もいるから、
    一つのユーザに複数のセッションを割り当てて管理してます。
    その過程でIDと複数のセッションを関連づけてるんだけど、
    sessionだとIDからセッションの逆引きが出来ないので。。
    ちなみに、ホストが変わるのは適度にマッチングして対応しています。

    ところでNonSSLでセッションハイジャックを完全に防ぐ方法ってあるかな?
    無理だよね。。まぁ、SSL使えって話しなんだろうけど。
    531 : nobodyさん - 2006/08/01(火) 09:10:48 ID:???.net (+25,+23,-3)
    >>530
    SSLでも完全には防げないし
    532 : 525 - 2006/08/01(火) 09:18:07 ID:???.net (+25,+27,-40)
    物理的アクセスとかウィルスはやめてください><
    そういや、ny系のウィルスでCookieやらをzipにして流すのがありましたね。
    533 : nobodyさん - 2006/08/01(火) 10:44:03 ID:???.net (+33,+29,-25)
    >>530
    っていうかSSLは通信内容を暗号化するだけで、
    セッションハイジャックを防ぐ手段とは関係ないわけだが。
    534 : 525 - 2006/08/01(火) 10:58:20 ID:???.net (+27,+29,-9)
    いやー、そりゃねーだろー。
    不安になって確認しちまったじゃんか。ぐぐればざくざく出てきますぜ。
    535 : nobodyさん - 2006/08/01(火) 11:28:28 ID:???.net (+22,+29,-1)
    じゃそういうことで。
    536 : nobodyさん - 2006/08/01(火) 11:40:56 ID:???.net (+26,+22,-3)
    誰か533を俺にも分かるように解説してくれ
    537 : nobodyさん - 2006/08/01(火) 12:04:03 ID:???.net (+31,+29,-2)
    >>536
    ぐぐればざくざく出てきますぜ
    538 : nobodyさん - 2006/08/01(火) 17:01:25 ID:???.net (+8,+15,-13)
    そんなセッションな、
    539 : nobodyさん - 2006/08/02(水) 03:45:11 ID:???.net (+8,+10,-56)
    というか、ログイン認証時以外にも常にHTTPSで通信するなんて
    実用的には無理があるよな。

    mixiみたいに、認証時以外はHTTPにするしかないだろ。
    負荷やレスポンスなどを考えると。
    540 : nobodyさん - 2006/08/02(水) 04:30:58 ID:???.net (+28,+25,-64)
    mixiはセッション管理的にアレだけどな。
    重要な情報をやりとりするとき以外はhttpでいいんじゃね。
    YahooもBiddersも楽天だってAmazonだってそうしてるし。
    鯖側よりクライアントに負荷の比重を置くセキュアプロトコルが欲しいところだな。
    541 : nobodyさん - 2006/08/02(水) 10:40:13 ID:???.net (+32,+29,-29)
    https通信時にどういうやり取りが行われてるか見ればわかると思うが、
    負荷を考えるのであれば全てをhttpsでやろうとするのはナンセンスだよな。
    1日10アクセスぐらいのサイトなら好きにすりゃいいけど(w
    542 : nobodyさん - 2006/08/02(水) 10:59:10 ID:???.net (-19,-15,-4)
    会員専用以外のとこで
    すべてをhttpsでやってるとこなんてあるの?
    543 : nobodyさん - 2006/08/02(水) 14:11:39 ID:???.net (-15,-3,+0)
    ないだろw
    544 : nobodyさん - 2006/08/03(木) 03:05:25 ID:???.net (+35,+29,-60)
    っていうかさぁ、みんな「セキュリティ、セキュリティ・・・」って念仏のように唱えてるけど、
    実際にSSLを使わずに重要情報をスニファされた事件って、実例あるの?
    そんなもん、いまだに聞いたことないんだが。

    545 : nobodyさん - 2006/08/03(木) 05:30:21 ID:???.net (+33,+29,-10)
    泥棒に入られたことなくても、家に鍵かけるだろ?
    546 : nobodyさん - 2006/08/03(木) 09:38:22 ID:???.net (+35,+30,-109)
    >>545
    実際には存在しない「架空の泥棒」を生み出して大騒ぎし、
    人々の恐怖心を煽って大儲けしているヤツらがいることに少しは気付こう。
    だからキミらはいつまで経っても搾取され続けるんだよ。バカだから。

    そんなキミらは映画『ボウリング・フォー・コロンバイン』でも見ると良い。
    547 : nobodyさん - 2006/08/03(木) 10:26:30 ID:???.net (+32,+29,-11)
    まぁ、プロと素人の意識の差だね。
    素人の趣味でやるなら好きにすりゃいい。
    548 : nobodyさん - 2006/08/03(木) 10:39:54 ID:???.net (+30,+29,-35)
    >>547
    論点のすり替え乙。

    意識だのプロだの関係ない。
    ただ単に想像の産物で騒いでるお前みたいなバカのことを笑ってるだけだよ。
    549 : nobodyさん - 2006/08/03(木) 10:52:07 ID:???.net (+16,+18,-19)
    セッションでメモリリークの次はこんな話題かw
    本当レベル低いよな。
    550 : nobodyさん - 2006/08/03(木) 18:52:15 ID:???.net (+27,+29,-11)
    そもそもSSLの是非を問うスレじゃないんだが…
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php スレッド一覧へ
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : - タブ + - メモリ + 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。

    類似してるかもしれないスレッド

    トップメニューへ / →のくす牧場書庫について