Q&A
セッションハイジャックを対策するために、session_regenerate_idでセッションIDを更新する方法があります。
php
1<?php 2session_regenerate_id()
最近、改めてsession_regenerate_idのドキュメントを見直した時に、次の警告がある事に気付きました。
PHP: session_regenerate_id - Manual
警告
現在の session_regenerate_id は、不安定なネットワークをうまく扱えません。 たとえば、モバイルネットワークや WiFi ネットワークです。 よって、 session_regenerate_id を 呼ぶことで、セッションの消失を経験するかもしれません。
すぐに古いセッションデータを破棄すべきではありませんが、 古いセッションID のタイムスタンプと、 アクセス制御は破棄すべきでしょう。 さもないと、ページへの同時アクセスによって、 状態の不整合が発生したり、セッションが失われたり、 クライアント(ブラウザ) 側のレースコンディションが発生したり、 不必要なセッションIDをたくさん作らなければならなくなるかもしれません。 セッションデータをすぐに破棄してしまうと、 セッションハイジャックの検出だけでなく、 防止もできなくしてしまいます。
お伺いしたい事
警告文の下記文言を対応するために、何か別の処理をする必要があるのでしょうか?
古いセッションID のタイムスタンプと、 アクセス制御は破棄すべきでしょう。
(phpの初期設定状態であれば)sessionは自動的に有効期限が着きますので、もし古いセッションが残っていれば削除されますので、
意図的にセッションを削除する必要はないかと思います。
また、環境によってセッションが消失する可能性があるのであれば、
昨今の環境に適したセッションIDを更新する方法が存在するのでしょうか?
現在の session_regenerate_id は、不安定なネットワークをうまく扱えません。 たとえば、モバイルネットワークや WiFi ネットワークです。 よって、 session_regenerate_id を 呼ぶことで、セッションの消失を経験するかもしれません。
回答1件
0
ベストアンサー
セッションハイジャックはセッションIDを悪用する攻撃の総称でして、session_regenerate_id() による対策は、主に数あるセッションハイジャックの中でも「セッションIDの固定化」への対策です。そして、セッションIDの固定化対策としては、頻繁にsession_regenerate_id() を呼び出す必要はなく、ログイン直後(ログインを確認して認証結果をセッション変数に保存する直前)に一度だけsession_regenerate_id(TRUE)を呼び出せばよいです。そうすると、「セッションデータをすぐに破棄してしまうと…」という状況を避けることができます。
一方、世の中には、セッションIDの固定化以外のセッションハイジャックにも対策する目的で、session_regenerate_id(TRUE)を頻繁に呼び出す流儀もあります(私は推奨しません)。これは、session_regenerate_id(TRUE)を頻繁に呼び出すことで、仮にセッションIDが漏洩しても、漏洩したセッションIDを悪用できる期間を短くできるという考え方です。しかし、現実にはこの方法には効果があまりないことと、「不安定なネットワーク」だと正規の利用者がサービスを使えなくなってしまう副作用があるので、引用されている注意は、頻繁なsession_regenerate_id呼び出しはよくないという意味なのだと思います。私もこの意見に賛成です。
まとめると、
- セッションハイジャックはいくつかのセッション乗っ取り手法の総称である
- セッションハイジャックの具体的手法の中にセッションIDの固定化があり、session_regenerate_id(TRUE)を一度呼び出すことで対策できる
- さまざまなセッションハイジャック手法への緩和策としてsession_regenerate_id(TRUE)を頻繁に呼び出す方法があるが、効果が薄い上に副作用も大きいので推奨しない
ということになります。
投稿2020/09/27 09:18
総合スコア11701
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/09/27 09:40 編集