CGI::Sessionモジュール - ×××Diary
ひとまず、いろいろめもめも。 セッション管理といえば、一度ログインした後セッションが有効な 間ログイン状態でサイトを利用できるっていうあれですね。 セキュリティ関係でよく話題に上るとこなんで まずはセキュリティ絡みのメモからかな。 #セッションハイジャック! 他人のセッションをのっとることですね。 実際にどのくらいの確立で巻き込まれるかはさておき ソーシャルハックだったり、パケット盗聴だったり 類推できる簡単なIDだったり、IDが短いが為に総当り攻撃されたり クロスサイトスクリプトだったりしてセッションを盗まれ しれっと、その人になりすまされちゃうよ。 だから、気をつけないとねってお話。 参考→Webアプリケーションに潜むセキュリティホール もろもろのセキュリティホールを考慮した場合 ログイン後にセッションを発行することと 同一IPアドレスの時のみセッションを有効としておけば たいていのセ
データベースを用いたセッションデータ管理について - LukeSilvia’s diary
Web アプリケーションとは切っても切れないセッション機構。DB ベースでセッション管理を行なって得られた知見と、それを元に考察した結果をまとめてみます。 セッションデータの特性 DB で管理される他のデータに比べ、セッションデータはかなり特殊です。主な特徴は次のような感じ。 データが増加するのが速い 定期的な削除が必要 頻繁に更新される リクエスト毎に読みに行く必要がある このデータを読めないとアプリケーション全体にアクセスできない アクセス頻度が高いということです。あと、1つ目の特徴からセッションデータについては意識的に管理してやる必要があります。 現在の環境 アプリケーションの領域が少し特殊で、セッションデータがやたらたまります(ユーザ数何百万のサービスとかそういうのではないです)。 RDBMS MySQL 4.0.22 ストレージエンジン InnoDB レコード数 6千万 テータサ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
