回答編集履歴

1

a

2016/04/14 04:55

投稿

mpyw
mpyw

スコア5223

test CHANGED
@@ -2,13 +2,15 @@
2
2
 
3
3
 
4
4
 
5
- - セッションIDとIPアドレスを結びつけると,セッションIDが盗まれたとしてもセッションハイジャックが非常に困難になり,セキュリティが向上する.但しIPアドレス全部分を照合することはユーザに不便を強いるので,ユースケースに合わせてネットワーク部の照合だけでも十分かどうかをまず検討すべき.また,セッションハイジャックを防げたとしても,通信内容が駄々漏れになることも問題なので,TLS暗号化も行っておくべき.
5
+ - セッションIDとIPアドレスを結びつけると,セッションIDが盗まれたとしてもセッションハイジャックが非常に困難になり,セキュリティが向上する.**但し,これはなりすましを防ぐだけであって,盗聴を防げるわけではない.**また,IPアドレス全部分を照合することはユーザに不便を強いるので,ユースケースに合わせてネットワーク部の照合だけでも十分かどうかをまず検討すべき.
6
6
 
7
+ - UserAgentの照合は,無いよりはあるほうがマシというぐらい.
8
+
7
- - UserAgentの照合も無いよりあるほうがベター.ただしUserAgentはIPアドレスと異なり偽装が容易にでき,Webブラウザとして利用されているUserAgentの数は限られているのであまり意味があるとも言えない.TLS暗号化されていない場合はそもそもバレバレなので完全に無意味.
9
+ (UserAgentはIPアドレスと異なり偽装が容易にでき,Webブラウザとして利用されているUserAgentの数は限られているため)
8
10
 
9
11
 
10
12
 
11
- 個人的には…TLS暗号化を行っているのであれば,この時点で(XSSなどの脆弱性が無ければ)セッションIDを盗み出すこと自体がまず困難なので,必須というわけでもないかと思いました.
13
+ 個人的には…盗聴となりすましを両方防ぐためにTLS暗号化を行っているのであれば,この時点で(XSSなどの脆弱性が無ければ)セッションIDを盗み出すこと自体がまず困難なので,必須というわけでもないかと思いました.
12
14
 
13
15
 
14
16
 
@@ -30,8 +32,14 @@
30
32
 
31
33
 
32
34
 
33
- 大規模サイトだとつらいかもしれません.完全に規模次第といったところでしょう.
35
+ 大規模サイトだと負荷がつらいかもしれません.規模次第といったところでしょう.
34
36
 
35
37
 
36
38
 
37
- またこちらの対応も,TLS暗号化しているのであれば必須ではないというところです.PHPSESSIDの有効期限が極端長かったり,再アクセスで期限の延長を行っている場合定期的にリフレッシュしたくなるかもしれせん
39
+ またこちらの対応も,TLS暗号化しているのであれば必須ではないというところです.以下該当する場合は定期的にリフレッシュしたほうがいいとは思い
40
+
41
+
42
+
43
+ - PHPSESSIDの有効期限が極端に長い
44
+
45
+ - PHPSESSIDの有効期限を再アクセスで延長している