質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.83%
WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

WordPressのセッション管理は WordPress固有の処理なのでしょうか?

shishishi
shishishi

総合スコア33

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

1回答

0グッド

1クリップ

4798閲覧

投稿2017/02/07 08:16

クライアントから依頼を受けて WordPressで構築したサイトを、クライアントがセキュリティ調査会社にセキュリティ診断の依頼をしたそうです。
その結果、「セッション管理の不備」として「手作りセッション管理機能の利用」という指摘を受けました。

具体的な指摘内容は、以下の通りです。

セッション管理において、言語やミドルウェアにて標準で提供されるセッション管理機能を使用せず、独自のセッション管理機能を使用しています。
ミドルウェア固有のセッション管理機能を使用している場合についても、そのセッション管理機能が安全とは言い切れない場合があるため、指摘とする場合があります。

試験対象の画面がログイン画面ですので、ログイン認証におけるセッション管理が WordPress固有の処理で構築されている、ということを指摘していることになるのだと思いますが、WordPressは固有のセッション管理で行われているのでしょうか?
WordPressですので、PHPでセッション管理の処理が作られている、ということになるわけですよね?

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

下記のような質問は推奨されていません。

  • 質問になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

適切な質問に修正を依頼しましょう。

maisumakun

2017/02/07 08:24

「ログイン画面」というのは、WordPressの管理画面へのログインでしょうか、それとも、ユーザーとしてのログインでしょうか。

回答1

5

ベストアンサー

その脆弱性診断は「ウェブ健康診断」という仕様によるものかと思います。元はLASDECという団体にて策定し、現在はIPAに仕様書が移管されて、安全なウェブサイトの作り方の別冊扱いになっています。

仕様書の注記として、以下のように書かれています。

言語・ミドルウェアのセッション管理機構とは、以下のセッションID の場合とします。
・ PHPSESSID
・ JSESSIONID
・ ASPSESSIONIDxxxx (xxxx はランダムな英数字)
その他、検査実施者の既知のセッションID を判断材料として加えてもよいこととします。

診断をした会社では、WordPressを「既知のセッションID」とはみなさなかったということでしょう。
しかし、仕様書の意図としては、WordPressのような著名なCMSやフレームワークのセッション管理機構については、既知のものとみなすということであり、指摘は必ずしもあたらないと考えます。

投稿2017/02/07 12:57

ockeghem

総合スコア11653

kei344, Y.H., shishishi, ikuwow, maisumakun👍を押しています

下記のような回答は推奨されていません。

  • 質問の回答になっていない投稿
  • スパムや攻撃的な表現を用いた投稿

このような回答には修正を依頼しましょう。

回答へのコメント

shishishi

2017/02/08 02:50

回答いただきましてありがとうございます。 非常にわかりやすい説明で助かりました。 回答いただいた内容を含め、クライアントに説明し、今後の対応はクライアントに判断を仰ぎたいと思います。 ありがとうございました。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.83%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。