元スレ【PHP】フレームワークについて語るスレ12【総合】

php覧

前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで

201 = :

煽ってるとこすまんが、同意するよ。
PythonやらRubyやらPerlがphpと比べてどうのとか、
ぜんぜん関係なかったし。

202 = :

>>197
>セキュアなページに入ってきたら、必ず一度はそのユーザーの有効性を確認するように実装するのが当然。

これがわからん。どうやって確認するの？
例えばユーザでログインした後、トップページからお問い合わせフォーム（もしくはその確認画面）に進んだだけで
パスワード入力を求められるようなサイトは現実的かな？
Amazonみたいに、重要な操作の前にいちいちパスワード入力を求めるっていう感じかな。

それとも、セッションに頼らない確認方法があるんだろうか。
流行の一時トークンも、ぶっちゃけクッキーやらPOSTだったら一緒に盗まれるんじゃないの。

203 = :

だから、個別のサービス思想に絡んだ設計の問題なわけでそ。

アマゾンのように、長いセッションを維持するサイトでは、重要な操作の前に、
必ずパスワードを確認させて、セキュアなセッションは短くしている。

Yahooでもクッキーを数種類使いつつ、クラムというフォーム追跡を埋め込んで、
通常ログイン状態とセキュアログイン状態を識別、追跡している。
だから、パスワードの再確認を求められるケースとそうじゃないケースがある。

そういうギミックを持ってないところは、ショップなどのように金銭が絡むところは
まるっとHTTPSで実装する。

> 流行の一時トークンも、ぶっちゃけクッキーやらPOSTだったら一緒に盗まれるんじゃないの。

それはどういうレイヤーで話をしてるの？
プロトコルの欠陥？ネットワーク盗聴？ブラウザーのバグ？

204 = :

>>202
盗まれても良いための「ワンタイム」トークンじゃないの？

205 = :

>>203
クッキーが盗まれる、っていう現象で想定のメインは「ネットワーク盗聴」じゃね？
他にもあるのか俺は知らんが。
例えばXSSで盗まれるのであればSSLなんて関係ないわけだし

>>204
毎回セッションIDを変えるってので兼用できてそうな気がするから、併用して
冗長にしてチェック、かな？
どのみちタイムアウトの設定次第の様な気がする。

206 = :

>>205
ネットワーク盗聴ならSSL下では問題ないって前提でいいわけだよな。
(SSL下でも解読できるとか行っちまったら元もこもない）
SSL下でsecure属性をつけたクッキーを出すのが普通なんで、
復路の盗聴はないし、ワンタイムトークンを使う限り
タイムアウトはセキュアセッションと同等でいいよな。

あんまりにも普通なこと過ぎて書くのが恥ずかしくなってきたわ。

207 = :

>>203
> だから、個別のサービス思想に絡んだ設計の問題なわけでそ。
そういう場合に、どっちの方式をとるかは設計の問題だね。

だけどフレームワークの意味をもう一度思い出してほしい。

汎用的で複雑な処理を簡単に実装できることだ。
重要な操作の前に確認したいのなら、
プロパティ一つ程度の簡単なコードですむようにしてくれるものだろう？

YAHOOのパスワードの再確認を求められるケースとそうじゃないケースを
作る為のサポート機能。それこそフレームワークが提供するべきものだろう？

あと、毎回セッションIDを変える方法は、
別ウインドウを出したとき問題になる。

208 = :

>>197
> 匿名の個人情報が見れるだけで実害はほとんどない。

これは笑う所かいな？ｗ

個人情報＝本名・住所等

匿名の本名・住所等が見れるだけで実害はほとんどない。

匿名になってないじゃないか～い。

209 = :

>別ウインドウを出したとき問題になる。

AmazonやYahooでいつ別ウインドウが出るってんだ
その手のサイトでログイン後に別ウインドウとかアホ設計だろうに

210 = :

>>209
別ウインドウってのは人間が出すんだよ。
ネットワークが遅いから、過去の履歴の詳細をいくつも別ウインドウで開くとか
（一つのウインドウの内容を見ている間に、他のページの読み込みが終わっている）

211 = :

>>208
もしかしてそこが笑うところ？
> 個人情報＝本名・住所等

そんな決めつけでよくやってられるな。
たとえば、性別とか好みとかカートの中身とか、クリック動向とか
個人を特定できないが個人に関係する情報も個人情報だろが

212 = :

>>207
あと、毎回セッションIDを変える方法は、
別ウインドウを出したとき問題になる。

ない。

213 = :

毎回セッションIDを変える方法は
連続でリロードすると問題になる。

サーバーでは値が変わっているが、
クライアントでは新しい値を受け取っていないなど。

214 = :

>>207
> だけどフレームワークの意味をもう一度思い出してほしい。
> 汎用的で複雑な処理を簡単に実装できることだ。

セキュアセッションは汎用的でも複雑でもないだろ。
関数一発挟むだけなのに、それをプロパティで設定しろってか。

215 = :

>>213
あほ？

別ウインドウを出したり、連続リロードで動作しちゃいけないのがセキュアゾーン

216 = :

セキュアページに入る前に
必ず認証が必要だというが、
Amazonはそうなっていない。

これを実現できるフレームワークは皆無ってことでおｋ？

217 = :

>>215
だが、Amazonは別ウインドウを出しても、連続リロードしても問題ない。

これを実現できるフレームワークは皆無ってことでおｋ？

218 = :

>>216
アマゾンはそうなってるよ。
すでにセキュアトークンを持ってれば別

フレームワーク乞食乙

219 = :

>>218
それは、ブラウザ起動して初めてログインした場合だろ。

一度ログインしていれば、非セキュアページから
セキュアページに入るときにパスワードは要求されない。

一度注文履歴を見たあとで、トップに戻れ。

トップから、もう一度注文履歴を見る間にパスワードを聞かれるか？

220 = :

>>214
> 関数一発挟むだけなのに、それをプロパティで設定しろってか。

関数一発挟むだけじゃないな。
Windowsプログラミングじゃあるまいし。
パスワード入力ダイアログを出して終わりじゃないんだよ。

認証が必要になった場合に、他のページに飛ばさないといけない。
そこから戻らないといけない。

一回目（認証前）と戻ったときの二回目（認証後）で違う処理をしないといけない。
必ずパスワードを出すというわりに、認証後はパスワードを出さないという風に矛盾している。

221 = :

>>207
> あと、毎回セッションIDを変える方法は、
> 別ウインドウを出したとき問題になる。

ただ単に、どっちかのセッションが使えなくなるだけじゃない？
問題なし

222 = :

>>219
それで何が不満なの？
なにかセキュリティ上の問題があるなら指摘してください

>>220
よーくわかった。(ry

223 = :

>>219
> すでにセキュアトークンを持ってれば別
ってちゃんと書いてるだろ。

224 = :

そもそもAmazonはJavaで独自実装だから
PHPフレームワークスレでこんな機能が全て実現できるフレームワークは
PHPにないよね！って言われた所でなんなんだっていう
ちなみにPerlでもJavaでもASPでもそんなフレームワークはない
その辺は自分で実装する

225 = :

>>207
>だけどフレームワークの意味をもう一度思い出してほしい。
>
>汎用的で複雑な処理を簡単に実装できることだ。
>重要な操作の前に確認したいのなら、
>プロパティ一つ程度の簡単なコードですむようにしてくれるものだろう？
>
>YAHOOのパスワードの再確認を求められるケースとそうじゃないケースを
>作る為のサポート機能。それこそフレームワークが提供するべきものだろう？

これがフレームワークが提供すべき汎用的な機能かと言うとどうだろうね？

227 = :

重大なセキュリティに絡む部分をオープンなフレームワークで吸収したら
そこにバグがあったらそれ使ってるシステムみんな死亡じゃん
クリティカルな部分は独自に実装するからバグがあってもなんとななるわけで

228 = :

>>227
んなこといったら、プレースホルダ使いたい、使わせたい為だけにPEAR::DB使ってた人間とか涙目だろ。
実際そういった判断は、凡PGに任せるより遙かにセキュアだったと思うがな

フレームワーク（というか基底ライブラリ）の有用性の一面を完全否定っすか。

229 = :

>>227
問題はバグがどうたらじゃないよ
設計や計画にはちゃんとした理解が必要だが、コーディングが難しかったり
面倒だったりするわけじゃないからFWに任せる内容じゃないってことだよ。

コーディングの助けっていう意味程度なら、どのFWにもセキュアセッション
を扱う機能や、ワンタイムトークンを自動でハンドリングするフォーム要素とか
一通りのものは揃ってる。

が、ページ遷移設計まで自動化してほしいとは思わないけどな。

PieceFrameworkあたりなら、その辺はすでに実装済みかもしれんけど。

230 = :

CakePHPは実際AuthComponentで誰でもログインできるってバグ出して死亡したけどなｗ
ああいうのはFWで吸収しない方がいい

231 = :

>>229
きちんと実装されるかどうかじゃなくて、フレームワークの場合は
そういうバグがありましたって公開されちゃうから、フレームワーク使ってるのバレると
悪用されるってことじゃないの？
独自実装ならクソみたいな実装でも中はどうなってるかアタックするまで解らんのだし

232 = :

>>230
言ってみれば各フレームワークも、それぞれの独自実装の固まりだからな
ある程度のライブラリくらい共用して欲しいような気もする今日この頃。
APIも統一されるし。

233 = :

cookieのsecure属性を理解してないヤツが混じってる予感。

234 = :

>>230
それは、バグがあるのがわるいだけだろｗ

235 = :

ごっつい根本的な質問で恐縮ですが
PHPって複数のセッションを同時に利用することってできるの？
それができるかできないかで、ものすごく話が変わってくるような。

・・・できないんだろうな。$_SESSION だもんな・・・

236 = :

>>235
微妙にスレチだぞ＞くだすれ行けって感じだが・・・

無理やりFWレイヤーの話に持ってくると、Zend_Sessionではセッションの配列で
ネームスペース的な扱いをして、使い分けている。
でも、そういう意味じゃなくて、上の流れで、セキュアセッションと平文セッションを
分割して持てるか？って話をしたいわけだよな？
PHPが受け入れるセッションID自体は一つ。それは正しい。

解は二つ。
クッキーと独自のバックエンドを使って、自前でセッション機構を作る。
セッションを理解してれば、簡単。
ちなみにYahoo!はPHPでこの方式を採用してる。

もう一つは、セッションそのものは永続化しておいて、セッションネームスペース内
に侵入を許す際に、そのネームスペースに対する適切なアクセスかどうかを個別のクッキーで検証する。
ZFで実装してるやつはたぶんこれがFA

237 = :

>>234
いや
これがCakePHPだから、セキュリティ情報として全世界にこういうバグありますよって公開されちゃうわけよ。
その情報を見てクラッカーが仕掛けてくる可能性が高い。
もし仮に自分で全て実装したものに同じバグがあったとしても、よっぽどしっかりクラックされない限り、誰にも知られることはない。

238 = :

>>236
> でも、そういう意味じゃなくて、上の流れで、セキュアセッションと平文セッションを
> 分割して持てるか？って話をしたいわけだよな？

ですです。それができれば、盗聴（非SSL）でセッションハイジャックされたとしても
その中には非セキュア用の情報しかないし、セキュア用のセッション（ログイン状態）等と
簡単に切り分けできるなーと。

ただ、他の言語の実装をみても、「セッション」ってもの自体の考え方が、どうやらサーバ-
クライアントで1対1っぽい？

＞解は二つ。
もう一つ、セッションはあくまでsecureで利用して、非セキュアな情報はみんなCookieに
放り込めばいいじゃない！ってふと思いついた。
最低4KB×20(50？)個なら、とりあえず普通に使えそうとか。

239 = :

Cookie切ってる奴多いのに通用するのかそれ
セキュリティソフトのせいで動きませんみたいなサイトになるぞ

240 = :

Cookie切ってる奴多い？
根拠は？

241 = :

>>239
もしかしてセッションIDをフォームに手で埋めるのが標準？
まじでか

242 = :

>>239
Cookie切ったら普通にセッション動かないけど？

243 = :

みなさ～ん、そろそろスレチですよっと。

244 = :

ほかの言語の話になってるよりましだし、いいんじゃないの？

245 = :

SSLの話題が出ているので便乗質問。

共有SSLに対応しているフレームワークってある？

http://www.aaa.com/
http://www.rental-server.com/~aaa.com/

こうなっているときに、ドメイン名違うし、パス違うしで
セッション保てないわで、困るんだよね。

246 = :

クッキー切ってるような変人相手にする必要なし
むしろブラクラに飛ばしてやれ

247 = :

Cookie切ってセッション動かないとかどんなクソ実装だよ
それじゃ携帯サイト対応できねーじゃん

248 = :

うーん。セキュリティ周りをちゃんと説明しているサイトが見つからない。

クッキー切っている場合（携帯対応）のセッションで
cookieにsecure属性をつけた場合の動作と同じことを
ちゃんとやっているのか確証を得たいが見つからない。

249 = :

Cookieが普通で携帯が異常なだけだろ。

250 = :

DoCoMoの携帯がクッキー非対応で異常だからってことで、
非対応にしてるサイトってあんまないけどな。
結局Cookie使わなくてもセッションは維持できる。

前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php一覧へ

類似してるかもしれないスレッド

• 【PHP】フレームワークについて語るスレ10【総合】 (1001) - [98%] - 2008/12/23 16:48 ○
• 【PHP】フレームワークについて語るスレ13【総合】 (985) - [98%] - 2009/9/23 3:04 ○
• 【PHP】フレームワークについて語るスレ10【総合】 (1001) - [98%] - 2008/8/24 19:04 ○
• 【PHP】フレームワーク CakePHP　3ホール目【本命】 (1001) - [59%] - 2008/6/19 7:19 ○
• 【PHP】セッションについて語ろう！【PHP】 (829) - [58%] - 2018/6/27 23:16 ○
• 【PHP】フレームワーク CakePHP　6ホール目【v1.2】 (933) - [57%] - 2009/8/19 2:06 ○
• 【PHP】フレームワーク CakePHP　5ホール目【v1.2】 (985) - [57%] - 2009/3/7 4:53 ☆
• 【PHP】フレームワーク CakePHP　7ホール目【v1.2】 (1001) - [57%] - 2010/3/18 1:18 ○
• 【PHP】フレームワーク CakePHP　4ホール目【v1.2】 (1001) - [57%] - 2008/12/19 21:06 ○