Q&A
hoge.php と fuga.php、それぞれは同じサーバにあって、URL が違うだけと思っていいのですか。
そこを明確にしてください。
こんにちは、いつもお世話になっております。
SSLと非SSLのページでのセッションのやりとりができずに困っています。
それぞれURLはこんな風になっております。
http://ドメイン/hoge.php
https://ドメイン.ssl-xserver.jp/fuga.php
やりたいのは非SSLのページで保存していた$_SESSION['hogehoge']をSSLのページでも使用したいということなのですが、SSLのページで$_SESSION['hogehoge']は取得できていませんでした。
そこでsession_idを確認したところ違うものが入っていたので、非SSLからSSLに行くときにpostでsession_idを渡たし、SSLページに非SSLと同じsesstion_idを設定することができました。
しかしまだSSLページで$_SESSION['hogehoge']は取得できませんでした。
このような場合何が原因として考えられますか?また、私がやろうとしていることはそもそも不可能なのでしょうか?
文字ばかりでわかりにくいかもしれませんが、よろしくおねがいします!
ご指摘をいただきました。hoge.phpとfuga.phpは同じサーバー内にあります。
回答2件
0
HTTPとHTTPSでホスト名が異なるのでセッションが別々になってしまっているのですね。
一般的によく使われるのは、HTTP側のセッションIDをform内に常に持たせてpostさせる、という方法でしょうか。
これは、最初にされていた方法ですね。
phpではセッション情報は通常、ファイルで保存されています。
ファイル名は「sess_セッションID」です
そのファイルが保存されるディレクトリはsession_save_path()で取得できます。
保存する際は、
file_put_contents(上記で生成したファイルのフルパス, session_encode(), LOCK_EX);
セッション情報を取得する際は、
session_decode(file_get_contents(上記で生成したファイルのフルパス));
で、セッションに展開されます。
しかし、セキュリティ上、同じセッションIDを持ちまわるのも問題があります。
可能であれば、サーバーにPOTSされてセッション情報を読み込んだ後、session_regenerate_id(true)などでセッションIDを変更するのがベターと思います。
投稿2016/05/17 08:03
総合スコア479
0
ベストアンサー
外から与えられたセッション ID を使う、という設計はセッション固定攻撃の隙を作りますし、そもそも筋が悪いのでやめたほうがいいと思います。
商品を渡すときの引換券を、お店が発行したものではなく、来店してきた人が勝手に作ってきたものを有効と認めるような話ですから。
SSL ページと非 SSL ページが同一サーバ内という追加情報を得て、の追記です。
PHP の (組み込みの) セッションは、セッション ID を cookie で受け渡す仕組みですから、ドメインが異なっても同じセッション ID を送る、というのは無理でしょう。
こういうときに PHP でやる定石みたいのはありそうですが、私が今思いつくのは、http と https のどちらからも共有できる情報の領域を確保し、どちらからも使うものはいわゆるセッションではなく、その領域に格納する、という方法かな、と。http, https それぞれのいわゆるセッションの関連付けは、http から https に遷移する際に推測困難なトークンを渡す、とかで行うとして。
投稿2016/05/16 01:42
編集2016/05/16 01:50総合スコア2468
ご回答ありがとうございます!
>外から与えられたセッション ID を使う、という設計はセッション固定攻撃の隙を作りますし
おっしゃる通りかと思います。。。
最初は非SSLのページとSSLにしたページとでセッションIDが違うとは思ってなかったのでこのようになってしまいました。
セッションIDが別になってしまう原因はお分かりになられますか?そこが自分の中で一番腑に落ちてないところでして。他のページで特別にセッションIDの操作などは行っていません。
そういうものと言われればもう仕方ないので、セッションを使わないほかの方法を考えてみようと思います。
追記ありがとうございます!
>http と https のどちらからも共有できる情報の領域を確保
「共有できる情報の領域」となると自分が思いつくものはデータベースくらいしかないのですが、それ以外になにかあるのでしょうか?
PHP でいうところのいわゆる「セッション」はクッキーを利用しています。セッションとクッキーについては、次の質問に対する私の回答もご一読ください。
https://teratail.com/questions/33522
一つ、先に確認しておきます。
「http://ドメイン/hoge.php」と「https://ドメイン.ssl-xserver.jp/fuga.php」とありますから、http の方は「ほにゃらら.ssl-xserver.jp」ではない、ということですよね。
cookie の仕組み上、違うドメインに同じ cookie は (すなわち同じセッション ID は) 送りません (サブドメインが違うだけのところになら cookie の設定で同じ cookie を送れる)。
同じサーバー内でも「http://ドメイン/hoge.php」と「https://ドメイン.ssl-xserver.jp/fuga.php」がそもそもサブドメインではないから共通のセッション、クッキーは利用できないんですね。
何度も親切にご回答いただきありがとうございました。なぜできないのか理解できました!
「共有できる情報の領域」としてはファイルシステムもあります。PHP のデフォルトのセッション情報獲得領域はファイルシステムだったはずです。
ちなみに、PHP のセッション情報の格納場所はセッションハンドラをカスタマイズすることで変更できます。まあ、今回はあまり関係ありませんが、次のページなどが参考になるかと。
http://php.net/manual/ja/session.customhandler.php
あなたの回答
tips
プレビュー
