安全なセッション管理を実現するために ― @IT
HTTPを使用したWebアプリケーションにおいて、安全なセッション管理を行うことは難しい問題である。タブブラウザによる画面の複数起動や、Webブラウザの戻るボタン/更新ボタンの押下といった、予期しない画面遷移に起因するバグの発生に頭を悩ませることは多いだろう。 大きな問題が発生しないならば、画面遷移の仕様上の制限をクライアントに許容してもらう選択肢もあるだろうが、不正な画面遷移を利用したセキュリティホールが存在するならば、放置しておいてよい問題ではなくなる。今回はセッション管理を安全に行うための基本的な注意点について解説していこう。 セッション固定攻撃とは何か セッション固定攻撃(Session Fixation)という脆弱性を耳にしたことはあるだろうか。脆弱性そのものの詳しい解説は本稿の趣旨ではないため割愛するが、簡潔に説明すると、以下のような手順を踏むことによりセッション情報がハイジャ
PHP Dream : セッションを利用した入力フォーム
セッション(session)を利用したフォームを作成しましょう. セッションを使うと,ページを移動しても,指定したデータを引き続き保持することができます. 今回は例題として,ユーザに「ウェブページのタイトル」,「URL」, 「メールアドレス」を入力してもらい,入力内容を確認後,データベースに保存するプログラムを 作成してみましょう. ※会員登録などのフォームをイメージして頂けるとわかりやすいと思います. 用意するファイル(ファイルですが,左クリックを使うのではなく,右クリックから保存してください.) input.php ユーザにタイトル,URL,メールアドレスを入力してもらうためのフォームです. confirm.php ユーザが入力した内容に不備がないか,表示します. regist.php 最終的にユーザの入力した内容が登録されたことを示します. definition.php ちょっとし
【PHP】セッションタイムアウトの時間を設定する
実際にどの設定でセッションタイムアウトが制御されているのか分からなかったので、調査したときのメモ。 基本はブラウザ側でクッキーを使えないとセッションは使えない。携帯の場合はこちらの記事を参考に。 そのクッキーの有効期限は最初にサーバにアクセスしたときにサーバ側で設定可能。多くのセッション管理のプログラムはセッションスタート時に session_set_cookie_params($lifetime); を実行して有効期限を設定している。 デフォルト値はphp.iniにある session.cookie_lifetime の設定(秒)。lamppやhttpdのインストール直後は0(ブラウザが閉じるまで有効)となっている。 session.cookie_lifetime = 0 のとき(「セッションクッキー」というらしい)はどの設定でセッションを管理しているかというと、それが session.
セッションハイジャック と session_regenerate_id( )関数
へんじがない。ただのポンコツのようだ。 ポンコツが今日も持ち場でガンバリつつ、 楽しく生きていくための備忘録ブログ。ぬわーーっっ!!2005年7月から絶賛「更新」中! 【この記事の所要時間 : 約 4 分】 ●PHPのセッション管理の問題とは? PHPのセッション管理は、セッションの固定化(Session Fixation)問題というのがある。この問題に対応するために、ログイン後にセッションIDを作り直して、ログイン後のセッションを保護するという対策が講じられる。 Session Fixationを原因としたセッションハイジャックを防ぐために、セッションIDを置き換える関数というのが、PHPには用意されている。それが、session_regenerate_id( )である。session_regenerate_id( )を使うとセッションIDは新しいものと置き換わるが、セッション情報を維持
「安全なWebアプリケーションの作り方」を読んでセッションを復習してみた - As a Futurist...
タイトルが長くて略称があれば知りたい感じの「安全な Web アプリケーションの作り方」を暇を見つけて読んでいます。今まであいまいなままだった部分を順を追って説明してくれるので、本当に助かります。Web アプリ作りの初心者は卒業したかなーという人は必ず目を通しておくと良いと思います。 Cookie を用いたセッションについて復習 「HTTP はステートレスで」とかいう話はよく聞きますが、じゃあどうやってセッション管理するのがいいの?って話をよく考えると体系的に聞いたことがなかった!というわけで、この本で文字通り体系的に学び直すことができました。 その中でも、「セッション ID の固定化」という話題はちゃんと分かってなかった部分があったので、こちらのサイトを参考に PSGI なアプリケーションを作ってみました(僕の書いたアプリ自体はその他の脆弱性に溢れていますがw)。コードはエントリの最後に。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
