PHP:既知のセキュリティ脆弱性 – Session Adoption
(Last Updated On: 2018年8月13日)追記:より新しい情報については間違いだらけのHTTPセッション管理とその対策をどうぞ。 PHPには広く知られているにも関わらず放置されている既知のセキュリティ脆弱性が幾つかあります。その一つがセッションモジュールのセッションアダプション(Session Adoption)脆弱性です。この脆弱性は現在広く利用されているWebアプリケーションの安全性に、非常に大きな影響を与える脆弱性です。 セッションアダプション脆弱性とはセッション固定化攻撃を可能とする脆弱性の一種です。セッションアダプションに脆弱なセッション管理システムは、ユーザ(ブラウザ)が送信してきた未初期化のセッションIDを受け入れ、セッションを初期化してしまいます。PHPに限らず、RailsやJavaのフレームワーク等、多くのWebフレームワークに発見されている脆弱性です。
セッションを維持したまま、サブドメインを移動できますか?(1/1) | OKWave
たしか php.ini のセッションの項にある session.cookie_domain にて指定できたと思います。 session.cookie_domain = "sample.com" とすれば、そのサブドメインで同じセッションが利用できると思います。ただし、同じサーバー上である必要があります。 もしこれを利用しない場合は、aaa.sample.com のセッションIDを他のホストにPOSTするなどして新しくユーザーに割り当てるという方法でしょうか。ただこの場合も同サーバー上で運用してる場合に限ります。 もし全く別サーバーで運用している場合は難しいと思います。セッションIDだけでなくセッション変数の中身もPOSTする必要があるんじゃないでしょうか。
クッキーをサブドメイン間で共有する « kawama.jp
以前から「クッキーはサブドメイン間で共有して使える」というのは聞いてたんですが、今回仕事で使うことになりそうなのでちょっと調べてみました。 以下、 set.example.com で発行したクッキーを get.example.com で呼び出す。というテストです。 http://set.example.com/cookie_set.php <?php setcookie("TestCookie", "Test", time() + 3600, "/", ".example.com"); echo "set!"; ?> ↑このスクリプトにアクセスするとクッキーが発行される。 http://get.example.com/cookie_get.php <?php echo "<hr>"; echo $_COOKIE["TestCookie"]; echo "<hr>"; ?> ↑このスクリプト
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
