SSL接続にするとセッションが切れることの対処法

phpを勉強し始めたばかりの者です。
SSL接続にするとセッションが切れることの対処法として、https専用セッションとhttpとの兼用セッションを用意すると良いとの記事を読みました。
それは、session_regenerate_idをしないセッションも用意するという理解でよろしいでしょうか？？
現在は、このようになっていますが、
row[`password'] = データベースに格納しているパスワード
if (password_verify($_POST['password'], $row['password'])) {
// ４．認証成功なら、セッションIDを新規に発行する
session_regenerate_id(true);
$_SESSION["name"] = $_POST["name"];
$_SESSION["userid"] = $row['id'];
header("Location: toppage.php");
exit;
}

session_regenerate_id(true);の前に、
$_SESSION["name2"] = $_POST["name"];//兼用セッション
$_SESSION["userid2"] = $row['id'];//兼用セッション
を挿入することで対処できますか？
これだと、セッションハイジャック対策ができなくなってしまいそうなのですが…

よろしくお願いします。

追記：
この方法ではできませんでした。クッキーも使ってみましたが、httpページで維持できません。
どうしたら良いのでしょうか……

行動規範の内容に同意します

回答1件

ベストアンサー

PHPのセッションは、デフォルトでサーバー側のファイルに書き込んで、アクセスしてきた
ユーザーのブラウザにクッキーとして同じ値を送信します。
ユーザーがクッキーの値を送信しますので、サーバー側に書き込んだ値と同じかどうか確認しています。
このクッキーにセキュア属性がついていると、httpsでしか送信しなくなります。
httpsのURLだと問題ないですが、httpだと困りますよね。
そこで、セッションには、セキュア属性をつけないで、代わりにトークンを発行する方法があります。
トークンというのは特に名前に意味があるわけじゃないですが
何でもいいので、セッション変数にハッシュ値を入れておき、これをセキュア属性のクッキーとします。
そうすると、HTTPではセッションを利用できますし、HTTPSでも利用できることになります。
HTTPSでトークンが送られてくるのでトークンを確認すればいいんじゃないんでしょうか

トークンを発行するという方法がいいと思います。
参考記事
http://qiita.com/sksmnagisa/items/0f48541f795beabe886e

投稿2015/09/25 06:26

kabuhiki

総合スコア58

kabuhiki

2015/09/25 06:45

トークンを発行するという方法がいいと思います。参考記事トークンを発行するという方法がいいと思います。トークンを発行するという方法がいいと思います。トークンを発行するという方法がいいと思います。ようす

kabuhiki

2015/09/25 06:48

要するにハッシュ値を関数で生成する→MD５などログイン時httpsにてセキュア属性のついたクッキーも発行するクッキーの値をセッションの変数に代入しておく。 httpsでのセッションはセキュア属性をつけない。よってHTTPでも利用できる。ログインが必要なページやセキュア属性が必要なページではセッションIDの確認とセキュア属性のついたクッキーの値も確認しておく。セッションIDが盗まれても、一緒に発行されたセキュア属性クッキーは盗めません。セキュア属性クッキーが切れていたら再度ログインなど

nakamura03

2015/09/25 08:58

迅速で丁寧なご回答、本当にありがとうございます。すいません、理解が及ばず…… そもそも、この場合はSESSIONではなくて、COOKIEで設定するということでしょうか？？まず、 //32バイトのCSRFトークンを作成 function get_csrf_token() { $TOKEN_LENGTH = 16;//16*2=32バイト $bytes = openssl_random_pseudo_bytes($TOKEN_LENGTH); return bin2hex($bytes); } $token = get_csrf_token(); そして、 $_SESSION['id'] = setcookie('id', $token, time()+3600, , , 1)// セキュア属性のついたクッキー httpのサイトでは$_SESSION['id']を使い、 httpsのサイトでは$_SESSION['id']と$_COOKIE['id']の値の確認。と、言う理解でよろしいでしょうか……

kabuhiki

2015/09/25 09:21

そうです。セッションはセキュア属性のついていないタイプで実行します。そしてそのときに普通にセキュア属性のついたクッキーをSESSION変数に代入します。すると、ユーザーのクッキーにはセッションIDだけが書かれたものと、セキュア属性のときだけに送信するクッキーの2種類があることになり、サーバー側では、同じくセッションID、そしてセッション変数に代入したデータが入っています。セッションにはセキュア属性をしていないので、危険ですが、重要なhttps領域での処理などでは、トークン（セキュア属性のクッキー）を利用して、合っているかどうか確認すれば、大丈夫ということです。

kabuhiki

2015/09/25 09:39

PHPのセッション関数を使うと、ユーザーに渡されるデータは、クッキーとしてのセッションIDだけですよね。セッション変数に何を書き込もうとユーザーに渡されるのはセッションIDが書かれたクッキーファイルだけです。http領域でセッションハイジャックが危ないといいますが、結局httpとhttpsで使い分けても同じで、httpはセッションハイジャックの危険が消えません。それでも、IPアドレスなどをセッション変数に入れて確認すれば、強度はかなり高くなると思います。

nakamura03

2015/10/01 03:10

ご丁寧に何度もすいません！やっと理解できました。本当にありがとうございました！

行動規範の内容に同意します