Q&A
現状のプログラムで、セッションを使っている箇所のソースコードを示して下さい
前提・実現したいこと
CGI::SESSIONを使用しています
休日にPerlで遊びがてら、簡単なログイン画面を作成しており、その時に発生した疑問です
発生している問題・エラーメッセージ
セキュリティーにはあまり詳しくはないんですが、セッション固定攻撃というのがあるというのを知りました
それにも対策をしてみようかと思いました
しかし、ドキュメントにはそれらについての記述が見当たりませんでした
PHPにはsession_regenerate_id()というセッションIDを再生成するための手段があると思います
そのため、Perlにも同等の機能があるはずだと思い込んでいましたが、各人で実装していかなければならないのでしょうか?
問題のソースコード
perl
1$session = CGI::Session->new(); 2$cookie = CGI::Cookie->new(-name => $session->name, -value => $session->id, -expires => '+1h', -secure => 1); 3 4print $cgi->header(-cookie => $cookie);
参考にしたサイト
- CGI::Session - CGIアプリケーションにおける持続的なデータのセッション - perldoc.jp
- Tutorial - CGI::Sessionのさらに広範囲に渡って記述されたマニュアル - perldoc.jp
- CGI::Session - persistent session data in CGI applications - metacpan.org
どうぞよろしくお願いします
(perldoc読んだかの確認をしたコメントを記載していましたが「ドキュメントには」というのを見落としていたので削除)どのあたりを探したかリンクなども記載いただけますか?
ockeghemさん, mts10806さん>質問文を追記しました。
回答1件
0
試行錯誤的に調べたところ、以下のようにSessionをnewする際に第2パラメータに空文字列を指定すると、新しいセッションIDが生成されるようです。
Perl
1$session = CGI::Session->new(undef, '');
ただ、あくまで、「こうすれば所望の動作が得られた」というだけで、仕様として正しいのかは確認できていません。参考情報としてお伝えします。
投稿2018/08/29 07:05
総合スコア11701
>Sessionをnewする際に第2パラメータに空文字列を指定すると、新しいセッションIDが生成される
現在検証できませんが、空文字列で再生成が可能だったのですね
第二引数にundefを指定した場合、セッション情報は維持されず、新しいセッションを生成するようだった(http://perldoc.jp/docs/modules/CGI-Session-3.11/Tutorial.pod#pod26368-21021-12395-12354-12394-12383-12364-30693-12427-12409-12365-20107)ので、空文字列でも同じものかと思い検証をしていませんでした
もう一度ドキュメントを見直して、回答のコードの動作について書かれていないか確認しようと思います
非常に参考になりました
ご回答をしていただき、ありがとうございました
あなたの回答
tips
プレビュー
