回答編集履歴
1
a
answer
CHANGED
|
@@ -1,9 +1,10 @@
|
|
|
1
1
|
【回答1】
|
|
2
2
|
|
|
3
|
-
- セッションIDとIPアドレスを結びつけると,セッションIDが盗まれたとしてもセッションハイジャックが非常に困難になり,セキュリティが向上する.但しIPアドレス全部分を照合することはユーザに不便を強いるので,ユースケースに合わせてネットワーク部の照合だけでも十分かどうかをまず検討すべき.
|
|
4
|
-
- UserAgentの照合
|
|
3
|
+
- セッションIDとIPアドレスを結びつけると,セッションIDが盗まれたとしてもセッションハイジャックが非常に困難になり,セキュリティが向上する.**但し,これはなりすましを防ぐだけであって,盗聴を防げるわけではない.**また,IPアドレス全部分を照合することはユーザに不便を強いるので,ユースケースに合わせてネットワーク部の照合だけでも十分かどうかをまず検討すべき.
|
|
4
|
+
- UserAgentの照合は,無いよりはあるほうがマシというぐらい.
|
|
5
|
+
(UserAgentはIPアドレスと異なり偽装が容易にでき,Webブラウザとして利用されているUserAgentの数は限られているため)
|
|
5
6
|
|
|
6
|
-
個人的には…TLS暗号化を行っているのであれば,この時点で(XSSなどの脆弱性が無ければ)セッションIDを盗み出すこと自体がまず困難なので,必須というわけでもないかと思いました.
|
|
7
|
+
個人的には…盗聴となりすましを両方防ぐためにTLS暗号化を行っているのであれば,この時点で(XSSなどの脆弱性が無ければ)セッションIDを盗み出すこと自体がまず困難なので,必須というわけでもないかと思いました.
|
|
7
8
|
|
|
8
9
|
|
|
9
10
|
【回答2】
|
|
@@ -14,6 +15,9 @@
|
|
|
14
15
|
|
|
15
16
|
> ・仮に上記理由だとしても1分ぐらいの実行間隔で良い気もするのですが…
|
|
16
17
|
|
|
17
|
-
大規模サイトだとつらいかもしれません.
|
|
18
|
+
大規模サイトだと負荷がつらいかもしれません.規模次第といったところでしょう.
|
|
18
19
|
|
|
19
|
-
またこちらの対応も,TLS暗号化しているのであれば必須ではないというところです.
|
|
20
|
+
またこちらの対応も,TLS暗号化しているのであれば必須ではないというところです.以下に該当する場合は定期的にリフレッシュしたほうがいいとは思いますが.
|
|
21
|
+
|
|
22
|
+
- PHPSESSIDの有効期限が極端に長い
|
|
23
|
+
- PHPSESSIDの有効期限を再アクセスで延長している
|