回答編集履歴

修正

2019/04/11 00:30

投稿

m.ts10806

スコア80888

answer CHANGED Viewed

@@ -4,9 +4,14 @@
 何かしらアドバイスがついたとして「それが適切か」という判断はできるんでしょうか。
 おそらく前にも言われたと思います。「回答者するくらいの人が言ってるから正しいんだ」
 それって本当にそう言い切れますか？
+ネットに転がっている情報を鵜呑みにしてはいけないのは分かりますよね。
+それと同じです。結局のところ自身で検証・調査する必要が出てくるわけです。
+手元に環境と目の前にコードがあるのだからまず試そう（teratailの指針ですね）
 あなたがいずれ仕事で後輩や部下を持つようになったとして、どう説明しますか？
 「理解する」ということは「人に説明できる」ということです。（確実な経験と根拠資料に基づいて）
 そのあたり、自身のこれまでを振り返ってみてください。
+すると今回の質問が「問題・課題がない」という非推奨の質問に限りなく近いことが分かるはずです。
 -------------

修正

2019/04/11 00:30

投稿

m.ts10806

スコア80888

answer CHANGED Viewed

@@ -1,3 +1,15 @@
+正直、
+**実際に色んなところに入れて挙動（セッションファイル含めた）を確かめてから質問してね**
+って見た人は思うと思います。
+何かしらアドバイスがついたとして「それが適切か」という判断はできるんでしょうか。
+おそらく前にも言われたと思います。「回答者するくらいの人が言ってるから正しいんだ」
+それって本当にそう言い切れますか？
+あなたがいずれ仕事で後輩や部下を持つようになったとして、どう説明しますか？
+「理解する」ということは「人に説明できる」ということです。（確実な経験と根拠資料に基づいて）
+そのあたり、自身のこれまでを振り返ってみてください。
+-------------
 そもそもセッションハイジャックにどんなセキュリティ脅威があるのかどんな攻撃手法があるのかを
 理解する必要があります。

修正

2019/04/11 00:28

投稿

m.ts10806

スコア80888

answer CHANGED Viewed

@@ -6,15 +6,21 @@
 session_regenerate_id()はあくまでその対策手段の1つにすぎません。
 上記記事でいえば「セッションハイジャックされないための対策」の「ワンタイムセッションIDの発行」のみの対応。
-「これだけやっとけば完璧！」とも言えません。
+「これだけやっとけば完璧！」とは言えません。
+「セッションハイジャック」ですからね。
 > 記事より引用：
 セッションIDをワンタイム化してしまい、攻撃されにくくする手段です。ワンタイム化すると**アクセスするたびにセッションIDが変更される**ので、特定は非常に難しいと言えます。
 php環境下ならば「session_regenerate_id関数」を利用することで簡単に行えます。
+「特定が難しい」だけです。
 さて[session_regenerate_id()](https://www.php.net/manual/ja/function.session-regenerate-id.php)についてはマニュアルを読まれたら分かるかと思います。注意書きがありますね。
 特に「警告」のところはきちんと読んでおいてください。
+また、「実行したときにセッションファイルがどうなっているか」もきちんと追っておくこと。これを知っておく必要はあります。
+引数をデフォルトのfalseのままにしておくとどうなるか想像してみてください。
 あとは、下記のような記事を参考にすると自ずと見えてくるのではないでしょうか。
 - [[PHP] リクエストパラメータ・セッションに関するまとめ](https://qiita.com/mpyw/items/7852213f478e8c5a2802)
 - [ぼくのかんがえたさいきょうのsession_start](https://qiita.com/mpyw/items/7f4772e4d4d360fc100c)