PHPのセッション管理について教えて下さい。
PHPアプリケーションなどでログイン機能などがある場合。
一般的にはセッションIDをセッション変数とCookieに保存して、
ページごとにそれらが一致するかをチェックして、
ユーザーがログイン中かどうかを判断するかと思います。
ただ、セッションハイジャックなどの攻撃にあうことがあるので、
その他のトークン利用やログイン後にはセッションIDを変更するなどが
基本的な対策になると認識しています。
このセッションハイジャックについてなのですが、
セッション変数を使わずにCookieのみでセッション管理しているのは問題外としても、
セッション変数とCookieでセッション管理している場合に、
仮にXSSなどでセッションIDなどの情報が攻撃者にCookieから漏洩したとして、
攻撃者が自分になりすますということはできるのでしょうか。
Cookieが書き換え可能で偽装することができたとしても、
セッション変数に任意の値を格納するなどができるのでしょうか。
セッション変数は基本的に他人には漏洩しない、
書き換えできないものだと認識しているのですが、
何か方法などがあるのでしょうか。
よろしくお願いいたします。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/10/04 12:08
2015/10/04 13:40 編集