session regenerate id セキュリティが理解出来てません。

session_regenerate_id(true)

上記で何故引数にtrueを入れてるのか
調べても漠然とtrueの方が安全だからとしか分かりませんでした。
ご教示お願いします。

修正・補足のご指示を頂いたので
参考側を貼らせていただきます。

https://blog.tokumaru.org/2013/10/should-1st-parameter-of-sessionregenerateid-function-be-true.html

上記リンクを『session_regenerate_id(true) なぜ』とGoogle検索にて発見し、sessionを破棄してくれる？内容まで把握いたしました。
まだ理解が浅い上記ですのでご鞭撻願います。

m.ts10806

2021/02/16 14:55

念のため、どこをどう調べて「安全だから」と理解したか記載してください。

m.ts10806

2021/02/16 22:33

徳丸氏のところでしたか。なるほど。確か回答者としても活動はされてたはずなので、アドバイス得られるかもしれませんね。「セキュリティー」のタグをつけられるとより広く見てもらえるようになります。

cockatieho

2021/02/18 23:28 編集

承知いたしました。セキュリティータグを付けます。ご指導ありがとうございます。

ockeghem

2021/02/20 12:41

参照記事の筆者ですが、私の記事には、「誤答（trueを指定しない方）に実質的な危険性があるわけではありません」としていますが、ここは読みましたか?

ockeghem

2021/02/20 14:48

参照されたブログ記事の著者ですが、「誤答（trueを指定しない方）に実質的な危険性があるわけではありません」という箇所は読まれましたか?

行動規範の内容に同意します

回答2件

まず、マニュアルを読むと良いですよ。
session_regenerate_id(true) が安全とは書いていません。
session_regenerate_id

delete_old_session

関連付けられた古いセッションを削除するかどうか。削除による競合を防いだり、セッションハイジャックを検出/防ぐ必要がある場合には、古いセッションを削除すべきではありません。

とあり、さらに以下の記述もあります。

警告

現在の session_regenerate_id は、不安定なネットワークをうまく扱えません。たとえば、モバイルネットワークや WiFi ネットワークです。よって、 session_regenerate_id を呼ぶことで、セッションの消失を経験するかもしれません。

すぐに古いセッションデータを破棄すべきではありませんが、古いセッションID のタイムスタンプと、アクセス制御は破棄すべきでしょう。さもないと、ページへの同時アクセスによって、状態の不整合が発生したり、セッションが失われたり、クライアント(ブラウザ) 側のレースコンディションが発生したり、不必要なセッションIDをたくさん作らなければならなくなるかもしれません。セッションデータをすぐに破棄してしまうと、セッションハイジャックの検出だけでなく、防止もできなくしてしまいます。

session id を生成(再生成)するタイミングは、何らかの機密情報を session に保存する直前(例えば、認証済みの印を保存する等)が適切ですが、その際、必ずしも古い session id を破棄する必要は無いです。

投稿2021/02/19 01:25