回答編集履歴
3
誤解をあたえた可能性あるので、修正
test
CHANGED
|
@@ -6,13 +6,9 @@
|
|
|
6
6
|
|
|
7
7
|
いいえ。
|
|
8
8
|
|
|
9
|
-
そもそもクライアントの実装なので、サーバ側で
|
|
9
|
+
そもそもCookieの送出はクライアントの実装依存なので、サーバ側の設定(php.ini)で
|
|
10
10
|
|
|
11
|
-
|
|
11
|
+
クライアントに対してcookieを送信を強制することなんて不可能です。
|
|
12
|
-
|
|
13
|
-
|
|
14
|
-
|
|
15
|
-
>
|
|
16
12
|
|
|
17
13
|
|
|
18
14
|
|
|
@@ -26,4 +22,10 @@
|
|
|
26
22
|
|
|
27
23
|
昔のガラケーとかは、cookieがつかえなかったのでURLにパラメータを追加することで同一セッションとして
|
|
28
24
|
|
|
29
|
-
動作させるようにしてきましたが、逆に言うとURLにcookieが露出するため書き換えされたりと脆弱性になりますので、現在は推奨されていません。
|
|
25
|
+
動作させるようにしてきましたが、逆に言うとURLにcookieが露出するため書き換えされたりと脆弱性になりますので、現在は推奨されていません(つまり、session.use_only_cookies=1がデフォルト)。
|
|
26
|
+
|
|
27
|
+
|
|
28
|
+
|
|
29
|
+
脆弱性については、徳丸さんのサイトに詳しくのっていましたので勉強になると思います。
|
|
30
|
+
|
|
31
|
+
[セッションIDを送り込む方法(1) URL埋め込みのセッションID](https://blog.tokumaru.org/2012/12/what-kind-of-sites-are-vulnerable-to-session-fixation.html)
|
2
追記
test
CHANGED
|
@@ -9,3 +9,21 @@
|
|
|
9
9
|
そもそもクライアントの実装なので、サーバ側でcookieを送信を強制することなんて
|
|
10
10
|
|
|
11
11
|
やろうとしてもできないですよ。
|
|
12
|
+
|
|
13
|
+
|
|
14
|
+
|
|
15
|
+
>
|
|
16
|
+
|
|
17
|
+
|
|
18
|
+
|
|
19
|
+
パラメータの意味は、まとめサイトでなく正規の[マニュアル](http://php.net/manual/ja/session.configuration.php#ini.session.use-only-cookies)を見るといいですよ。
|
|
20
|
+
|
|
21
|
+
|
|
22
|
+
|
|
23
|
+
> session.use_only_cookies は、 このモジュールがクライアント側へのセッション ID の保存に Cookie のみ を使用することを指定します。 この設定を有効にすることにより、セッション ID を URL に埋め込む攻撃を防ぐことができます。この設定は、 PHP 4.3.0 で追加されました。 PHP 5.3.0 以降で、デフォルトは 1 (有効) となります。
|
|
24
|
+
|
|
25
|
+
|
|
26
|
+
|
|
27
|
+
昔のガラケーとかは、cookieがつかえなかったのでURLにパラメータを追加することで同一セッションとして
|
|
28
|
+
|
|
29
|
+
動作させるようにしてきましたが、逆に言うとURLにcookieが露出するため書き換えされたりと脆弱性になりますので、現在は推奨されていません。
|
1
引用しっぱい
test
CHANGED
|
@@ -1,4 +1,4 @@
|
|
|
1
|
-
>これはユーザが設定したクッキー無効の設定を、
|
|
1
|
+
> これはユーザが設定したクッキー無効の設定を、
|
|
2
2
|
|
|
3
3
|
プログラムから強制的にクッキー有効にしているということでしょうか?
|
|
4
4
|
|