回答編集履歴
1
追記
answer
CHANGED
|
@@ -1,2 +1,9 @@
|
|
|
1
1
|
外から与えられたセッション ID を使う、という設計はセッション固定攻撃の隙を作りますし、そもそも筋が悪いのでやめたほうがいいと思います。
|
|
2
|
-
商品を渡すときの引換券を、お店が発行したものではなく、来店してきた人が勝手に作ってきたものを有効と認めるような話ですから。
|
|
2
|
+
商品を渡すときの引換券を、お店が発行したものではなく、来店してきた人が勝手に作ってきたものを有効と認めるような話ですから。
|
|
3
|
+
|
|
4
|
+
-----
|
|
5
|
+
SSL ページと非 SSL ページが同一サーバ内という追加情報を得て、の追記です。
|
|
6
|
+
|
|
7
|
+
PHP の (組み込みの) セッションは、セッション ID を cookie で受け渡す仕組みですから、ドメインが異なっても同じセッション ID を送る、というのは無理でしょう。
|
|
8
|
+
|
|
9
|
+
こういうときに PHP でやる定石みたいのはありそうですが、私が今思いつくのは、http と https のどちらからも共有できる情報の領域を確保し、どちらからも使うものはいわゆるセッションではなく、その領域に格納する、という方法かな、と。http, https それぞれのいわゆるセッションの関連付けは、http から https に遷移する際に推測困難なトークンを渡す、とかで行うとして。
|