[PHP-users 17273]Re: セッションハイジャック対策

[Reiji Matsumoto]

Matsumoto ＠ Spと申します。

> IPA、cookieの利用および“secureモード”で発行することを推奨
> http://internet.watch.impress.co.jp/cda/news/2003/08/11/112.html
>
> 著名ネットショップにcookie盗聴による個人情報漏えいの欠陥
> http://internet.watch.impress.co.jp/cda/news/2003/08/11/115.html

１年ほど前にある仕事の関連で同様の調査をした事がありますが、
非常に多くのサイトでこのような問題をかかえていました。
しかし、IPAが言うように既にあるショッピングサイトでsecureモード
でのみcookieを送信するとなると、根本的に作り直さなくてはならない
部分も多く、大変ですね。
私の場合ですと、SSLに入る瞬間にセッション変数を変更するように
しております。phpでの実装は一昔前だとちょっとだけ工夫が必要だっ
たのですが、今はsession_regenerate_id()があるので簡単ですね。

SSLをまったく利用しないでセッションハイジャックを100%遮断する
事はとても難しいと思います。色々な可能性を模索したのですが決め
手となる方法を編みだせませんでした。クライアントでjava script
が利用できる場合、辛うじてなんとかする方法を思いついたのですが
携帯端末になると、まず無理なんじゃないかと思っています。