私的良スレ書庫

不明な単語は2ch用語を / 要望・削除依頼は掲示板へ。不適切な画像報告もこちらへどうぞ。 / 管理情報はtwitterで
ログインするとレス評価できます。登録ユーザには一部の画像が表示されますので、問題のある画像や記述を含むレスに「禁」ボタンを押してください。

元スレ【PHP】セッションについて語ろう！【PHP】

php スレッド一覧へ / php とは? / 携帯版 / dat(gz)で取得 / トップメニュー

みんなの評価 : ○
レスフィルター : (試験中)

前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 次へ

/ 要望・削除依頼は掲示板へ / 管理情報はtwitterで

351 : nobodyさん - 2006/05/19(金) 19:22:28 ID:???.net (+24,+29,-32)

再利用というのは、DHCPから配られるIPアドレスという意味でいいですか?

あと同じIPアドレスを使っているというのは、NATのことでしょうか?
それくらいしか思いつかなかった。

352 : nobodyさん - 2006/05/19(金) 19:22:52 ID:oMRPSSzC.net (+39,+29,-69)

データが通信途中全て第三者に取得されていると言う前提で、
SSLを使わないでデータを安全にやりとりする方法ってありますか？
JavaScriptとPHPでRSA暗号使ってやりとりしようと思ったのですが、
もっとスマートで対応するブラウザが多い方法ってありますか？
どなたかご存じの方教えていただけると嬉しいです。

354 : nobodyさん - 2006/05/19(金) 21:39:58 ID:???.net (+32,+29,-50)

大企業やCATVとかでファイヤーウォール噛ませててインターネットからは一つのIPに見えてるってネットワークは有る。

RSAで簡単にやるのがSSLなんだけどね。わざわざSSL使わずにどうにかするほうが面倒で難しい。

356 : nobodyさん - 2006/05/19(金) 22:45:38 ID:???.net (+32,+29,-28)

>>350
俺は「一応の保険」みたいな感じでやってるなー
もちろん単なる簡単な保険程度の扱いだけど。

357 : nobodyさん - 2006/05/19(金) 22:52:14 ID:???.net (+41,+29,-61)

>>350
作る「もの」によるかな？
シビアなチェックが要求されるものならＩＰチェックには頼らないが、セッションハイジャックされたところで
そんなに大したもんでもない程度のものなら、ＩＰチェックすらしてないw
ＩＰチェック程度を実装する事もある
みたいな。

358 : nobodyさん - 2006/05/19(金) 23:02:07 ID:???.net (+46,+29,-26)

>>349
>>357の書く通りそれに頼ってしまうのは間違いだけど、セッションハイジャックを防ぐ方法としては比較的一般的に使われてる手法。
http://www.google.com/search?num=50&hl=ja&q=%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF+%EF%BC%A9%EF%BC%B0+%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja

359 : nobodyさん - 2006/05/20(土) 10:09:53 ID:???.net (+35,+29,-66)

セッションハイジャックを防ぐ手法一つとしての存在するのは理解できるのですが、
実際にどんな場合に利用してます?

個人的には無意味かなぁと思っていたのですが

保険的に利用する場合ってIPチェックして違った場合、ログを残すとかそんな感じですか?

360 : nobodyさん - 2006/05/20(土) 12:50:03 ID:???.net (+29,+30,+0)

>>359
>>358

361 : nobodyさん - 2006/05/21(日) 17:21:39 ID:???.net (-16,-29,-85)

セッションを使ったログイン・システムを作ったのですが、
ログイン後、操作をしない（通信をしない）時間が数分続くと、
勝手にログアウトしてしまいます。

ブラウザを閉じたわけでもないですし、session.gc_maxlifetimeは1440あります。
明示的にログアウト処理をしない限りログイン状態が続くようにしたいのですが、
どこの設定をいじれば良いのでしょうか・・・。

362 : nobodyさん - 2006/05/21(日) 19:04:53 ID:???.net (+39,+29,-6)

>>358
そこ読んだけど
IPチェックはあまり意味ないって言ってる気がするが？

363 : nobodyさん - 2006/05/21(日) 22:09:56 ID:???.net (+44,+30,-87)

>>362
そう。あんまり意味無い。
でも、全く意味が無いってわけでも無い。
つまり、それ程シビアなチェックを必要とされないものなら、この程度でも良いかもね程度に考えておけばと。

とにかくだな。
あくまで１つの手段としてこんなのもあるよって話しなので、気に入らないのなら別の方法を実装すれば良いだけの話。
頭で色々考えるのも良いが、まずは先に物を作って実際に動かした方が余程勉強になるかと。

364 : nobodyさん - 2006/05/21(日) 22:13:15 ID:???.net (+38,+30,-104)

>>363
↓書き方悪かったな。
まずは先に物を作って実際に動かした方が余程勉強になるかと。
↑っていうのは、自分でセッションを使う簡易的なサイトでも作ってみて、それを自分でセッションハイジャック出来るかどうか試してみたら良いよって感じかな。
ハイジャックできてしまったら、それを防ぐにはどうすれば良いかを考えて改良し、また自分でハイジャックを試す。
そんな感じで完成度を上げていくと良いかなって思う。

365 : nobodyさん - 2006/05/22(月) 10:41:52 ID:???.net (+32,+29,-61)

IPチェックだけは意味が無いね。
他との併用でしょ。セコムのシール貼ってるだけに近い。実際の防犯にはちゃんと対策が必要。

元々HTTPはステートレス。
セッションを使って無理矢理ステートフルに見せかけてるだけ。
NATとかkeepalive切ってる場合も有るから、鯖でがんばっても無理が有ることが多い。

366 : 361 - 2006/05/22(月) 19:04:58 ID:???.net (+27,+29,-5)

放置されてるところを見ると、くだ質に行くべきでしたね。。。　行ってきます。

367 : nobodyさん - 2006/05/23(火) 11:47:58 ID:8StU5eTg.net (+35,+21,-133)

質問させてください

セッションIDでログイン状態を判断するっていうのは
最初ログインしたときに
サーバ側のDBなどでセッションIDとログインしたユーザを
紐づけて管理するってことですよね？

それとは別に、ログイン時に
ログインIDとパスワードをクッキーに書き込んで
認証が必要なページでは毎回クッキーで判定しようと思うのですが
どんなリスクがあるのでしょう？
もちろんパスワードはMD5などの不可逆な変換を行い
クッキーもSSLのページのみで受け渡しします。

368 : nobodyさん - 2006/05/23(火) 14:17:16 ID:???.net (+53,+29,-71)

クッキーがPCに残るから、それを第三者に取られたとき危うい。
セッションIDなら一度ログアウトしてしまえば大丈夫だけど、
それだとログアウトしてもクッキーさえ持っていれば再度ログインできる。

369 : 367 - 2006/05/23(火) 15:03:01 ID:???.net (+46,+29,-61)

>>368
すみません、クッキーと書きましたが
ブラウザを閉じたら消えるやつで
いわゆるセッションと同じようなもののことでした。

でもブラウザの実装によっては
一時的でもクライアントに保存されるため
リスクが高いということでしょうか。

370 : nobodyさん - 2006/05/23(火) 20:46:03 ID:???.net (+39,+29,-131)

>>369
強いて言うなら、その方法だと、XSSでクッキーを盗まれたときに、
パスワードを変更しない限り、その情報が使えてしまうけど、
XSS心配したらセッションも使えないし、
リスクという点では大差ないと思う。

セッションには、
・PHPに初めから実装されていて、手軽に使える
・ブラウザを閉じるまでは、以前の情報を継続して使える
という利点があるけど、単にログイン状態を保存しておくだけだったら、>>367の方法でも良いんじゃないかな。

371 : nobodyさん - 2006/05/23(火) 23:07:03 ID:???.net (+42,+29,-40)

>>369
永続的なパスワードは一時的であれクッキーに保存するべきではない。
XSSでコッソリ取られた日には目も当てられない。

372 : nobodyさん - 2006/05/23(火) 23:17:59 ID:???.net (+34,+28,-15)

>>371
パスワードそのままじゃない
って言ってるよ

374 : 368 - 2006/05/24(水) 15:58:59 ID:???.net (+34,+29,-53)

>>372
よくよめ。
>>371
確かに。XSSの事忘れてた。。

つーか、わざわざパス記録すんなよ。メリット無いだろ。
セッションならXSSで取られてもIPで再度チェックすれば大体防げる。

375 : nobodyさん - 2006/05/24(水) 17:26:05 ID:???.net (+32,+29,-21)

IPでチェックって言ってる人は
IPが変わる環境のクライアントは切り捨ててるの？

376 : 368 - 2006/05/24(水) 17:35:05 ID:???.net (+31,+29,-66)

可変範囲考えて実装すれば何も問題ない。
ホスト名が取得出来るんだったら、末尾から数えて二つめのドットまでマッチングとかな。
自分はもうちょっと複雑に可変範囲決定してるが、方法はいくらでもあると思われ。

377 : nobodyさん - 2006/05/24(水) 18:12:48 ID:???.net (+31,+29,-51)

>>375
携帯サイトのことを言っているのならIPチェック自体がナンセンス
通常のネットワーク環境を前提にしているとしたらIPが変わった時点でセッションが切れて当然

378 : nobodyさん - 2006/05/24(水) 18:15:10 ID:???.net (+32,+29,-35)

自分はIP変わった時点ではログアウトさせて無いなぁ。。
苦情来ない？実際自分も不便だと思うからneverにしてる。
クリティカルなやりとりに入る場合は再入力させてるけど。

379 : nobodyさん - 2006/05/24(水) 18:15:50 ID:???.net (-22,-25,+3)

>>376
.co.jp ？？

>>377
そうなんだ
知らなかった

380 : 386 - 2006/05/24(水) 18:21:45 ID:???.net (-9,-12,-57)

>>379
いや、so-net.netとか。.ne.jpとかは末尾ドット二つじゃ足りなくて三つ遡ってマッチしなきゃならんが。

ヤフやらはてなやらアマゾンはそんな実装だな。>>378
関係ないけど、ヤフの会員登録(HTTP)は生でパス流してる。

381 : nobodyさん - 2006/05/24(水) 18:22:17 ID:???.net (+37,+29,-30)

>>378
それ「セッション」じゃないし…

382 : 386 - 2006/05/24(水) 18:23:41 ID:???.net (+27,+29,-27)

更に関係ないけど、ヤフのログインてHTTPが標準なのは勘弁して欲しい。
チャレンジレスポンスだけど、途中に割り込まれたらっつーのもあるし、今時HTTPって。。

383 : nobodyさん - 2006/05/24(水) 18:27:30 ID:???.net (+27,+29,-70)

＞＞３８１
所謂セッション管理についてのスレだから一行動としてのセッションで捉えなくて良いと思ふ、
つか、今時そんな短時間でログアウトさせてる方が珍しい、金融機関除いて

384 : nobodyさん - 2006/05/24(水) 18:32:26 ID:???.net (+32,+29,-14)

>>381
なにがセッションじゃないんだ？

385 : nobodyさん - 2006/05/24(水) 18:43:29 ID:???.net (+27,+29,-44)

確かにログアウトまでの時間については悩ましいところ。
セキュリティ的には短い方が望ましいが、長い方が明らかに便利。
あ、良いこと考えた。

386 : 386 - 2006/05/24(水) 18:46:32 ID:???.net (+63,+29,-44)

httpsのリンクをお気に入りに登録させ、毎回ログインさせれば良いじゃん、とか考えたけど、
直接PCを操作される場合のリスクを考えてﾅｶﾀ。何か良い方法無いですか？

387 : nobodyさん - 2006/05/24(水) 19:33:32 ID:???.net (+36,+29,-16)

>>386
質問したいなら
要点をまとめてからにしてくれ

389 : nobodyさん - 2006/05/24(水) 23:54:13 ID:???.net (-14,+6,-1)

>>388
とりあえずAとBのソースを書いてみろ。

392 : nobodyさん - 2006/05/25(木) 00:59:45 ID:???.net (-29,-16,-9)

>>390
それから、本当にキャッシュから表示してるのか確かめたければ、
input.phpに現在時刻の表示とかを入れると良いよ。

393 : 388 - 2006/05/25(木) 08:20:59 ID:???.net (+0,+7,-21)

>>390

どうもありがとうございます。

>input.phpに現在時刻の表示とかを入れると良いよ。
私もこれは試したのですが、
時刻は現在時刻を表示してるのですが
$_SESSIONの値は変わらずといった状態でした。

設定をもう一度見直してみます。
お世話になりました。

394 : nobodyさん - 2006/05/25(木) 08:36:41 ID:???.net (+27,+29,-24)

373で質問させてもらいましたが
もしかしたらここの主旨とずれていたかもしれません。
質問用スレッドにて質問させて頂きます。
どうもすみませんでした

395 : nobodyさん - 2006/05/25(木) 16:05:42 ID:???.net (-26,-29,-105)

質問ですがユーザ認証の仕組みは
みなさんは自作されてるのでしょうか？
PEAR::Authを使ってるのですが
このスレを読んで心配になりました。
PEAR::Authのログインしたときのクッキーの送受信を
セキュアな接続のときに限定することはできないですよね？

396 : nobodyさん - 2006/05/26(金) 22:50:44 ID:???.net (+33,+29,-49)

どうやってセキュアな接続って判定するの？

ブラウザのキャッシュとは限らんよ。
ブラウザに到達するまでに色んな所でキャッシュする装置が挟まってることは良くある。
ファイヤーウォールとか、キャッシュサーバとか、プロクシとか。

397 : nobodyさん - 2006/05/26(金) 23:14:34 ID:???.net (-1,+0,-3)

>>396
SSLのことだろ？

398 : nobodyさん - 2006/05/28(日) 10:58:28 ID:???.net (+36,+29,-64)

そういえばmixiって、一度ログインしたら、明示的にログアウトしない限り
ずっとログイン状態が続いてるよね。

あれってどうやって実現してるんだろう？（＆セキュリティ的に大丈夫か？？）

399 : nobodyさん - 2006/05/28(日) 11:25:26 ID:???.net (+27,+29,-9)

ソースでも見たら？
一時期流出してたしどこか有るでしょ。

400 : nobodyさん - 2006/05/28(日) 14:17:29 ID:???.net (+32,+29,-38)

>>398
たしかにネットカフェとかでmixiにログインして
そのままログアウトし忘れてそのまま帰っちゃうヤツとか多そうで危ないな。

前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 次へ

/ 要望・削除依頼は掲示板へ / 管理情報はtwitterで /

php スレッド一覧へ

みんなの評価 : ○

類似してるかもしれないスレッド

【PHP】フレームワークについて語るスレ13【総合】 (985) - [58%] - 2009/9/23 3:04 ○
【PHP】フレームワークについて語るスレ10【総合】 (1001) - [58%] - 2008/8/24 19:04 ○
【PHP】フレームワークについて語るスレ10【総合】 (1001) - [58%] - 2008/12/23 16:48 ○
【PHP】フレームワークについて語るスレ12【総合】 (994) - [58%] - 2009/3/19 13:46 ○
【Perl】何をやれば「出来る」といえる？【PHP】 (185) - [45%] - 2019/5/9 7:46
PHPでオークションサイトを作ろう！ (294) - [44%] - 2019/5/9 7:45 ○

トップメニューへ / →のくす牧場書庫について

総計:	127,062,848人
頁
昨日:	no data人
頁
今日:	人
頁