Session管理してる？ (221ﾚｽ)

Session管理してる？ http://medaka.5ch.net/test/read.cgi/php/990627898/

上下前次1-新
通常表示 512ﾊﾞｲﾄ分割 ﾚｽ栞

---

19: 名無しさん＠お腹いっぱい。 [] 2001/05/31(木) 12:55 ID:6kiiO4aQ セッション管理ってなんで必要なの？ http://medaka.5ch.net/test/read.cgi/php/990627898/19

20: 名無しさん＠お腹いっぱい。 [sage] 2001/05/31(木) 19:37 ID:??? >>19 衝撃の質問！ http://medaka.5ch.net/test/read.cgi/php/990627898/20

21: 名無しさん＠お腹いっぱい。 [] 2001/06/01(金) 10:08 ID:lW7xbRZQ PHPLIB+MySQL+PHP3.0.9でセッション管理してます。ただ、レンタル サーバーなんで都度requireしなければいけないのですが... しかし、国際版PHPじゃないのがつらすぎる。Perl+DBIのほうが開発早かった かもしれんッス http://medaka.5ch.net/test/read.cgi/php/990627898/21

22: 電動ナナシ [0] 2001/06/01(金) 17:50 ID:??? >>19 常に必要ってわけじゃない。 Web ページ間で変数を引き渡す手段が必要なときに有用ってだけ。 >>20 3.0.9 って思いっきりセキュリティホールがあるじゃん。 バージョンあげてもらうついでに国際化版にしてもらおう。 それが無理なら Perl を使ったほうがマジでいいぞ。 http://medaka.5ch.net/test/read.cgi/php/990627898/22

23: 名無しさん＠お腹いっぱい。 [] 2001/06/11(月) 11:59 ID:BchxEcFA ちょっと質問。 よくユーザ登録のページで情報を入力しsubmitして 確認画面がでますよね。でソースを見ると入力内容をHidden で渡してるものもあれば、Hiddenを使用していないものもあります。 Hiddenを使用せず渡すのは、s_id見たいなものを をキーにして入力内容をDBに毎回insertしてページ間でデータが 渡っているのでしょうか？それとも別の方法があるんですかね？ 疑問だったので・・・。 http://medaka.5ch.net/test/read.cgi/php/990627898/23

24: sage [sage] 2001/06/11(月) 12:12 ID:??? >>23 cookie http://medaka.5ch.net/test/read.cgi/php/990627898/24

25: sage [sage] 2001/06/11(月) 12:11 ID:??? >>23 cookie http://medaka.5ch.net/test/read.cgi/php/990627898/25

26: 名無しさん＠お腹いっぱい。 [sage] 2001/06/11(月) 12:44 ID:??? またはipを基に一時ファイル作成とか…。 まぁ普通はCookieだと思うが http://medaka.5ch.net/test/read.cgi/php/990627898/26

27: 名無しさん＠お腹いっぱい。 [me] 2001/06/12(火) 12:44 ID:??? cookieに依存すると、専用端末や携帯電話やcookie offに対応することに なったときに面倒っすよ。趣味でPCだけ相手にしているときにはいいけど。 http://medaka.5ch.net/test/read.cgi/php/990627898/27

28: 名無しさん＠お腹いっぱい。 [sage] 2001/06/12(火) 13:16 ID:??? >>27 ソース見てhiddenがないのはどうなってるのかって聞いたから例としてcookie と言ったまで。 そりゃ状況によって方法は変えますよ、わたしゃ。 http://medaka.5ch.net/test/read.cgi/php/990627898/28

29: 名無しさん＠お腹いっぱい。 [] 2001/06/22(金) 12:49 ID:yGqQ.0ks age http://medaka.5ch.net/test/read.cgi/php/990627898/29

30: 殿堂ナナシ [0] 2001/06/22(金) 22:26 ID:??? >>23 Servlet ではセッションはサーバのメモリに保持する。 ファイルやDBはオーバーヘッドがあるのであまりないね〜。 PHP4 はファイルですよね（よく分からんけど） >>24 クッキーに情報自体を保持するのは、一般的？に セッション管理とは言いにくいような。。。 # セッションIDは別 http://medaka.5ch.net/test/read.cgi/php/990627898/30

31: 名無しさん＠お腹いっぱい。 [sage] 2001/06/22(金) 22:34 ID:??? >>30 セッション終了時に消えるクッキーをセッションクッキーって 言うの知らないの？ http://medaka.5ch.net/test/read.cgi/php/990627898/31

32: 殿堂ナナシ [sage] 2001/06/22(金) 23:21 ID:??? >>31 怒ってる〜？ そうだね。レスポンスヘッダに設定する有効期限を無しに すればセッションが続く限りクライアントが情報を保持するよね。 んで、そのセッションクッキーってのを使うと セッション管理してるということになるの？ hidden と同じでクライアントに投げたら投げっぱなしなので 管理とは言いがたいような気がします〜。 毎回切断される HTTP で継続して情報を保持するために サーバでランダムな ID を発行し、それをキーにクライアントと やりとりを行う。 それをセッション管理と言う。 http://medaka.5ch.net/test/read.cgi/php/990627898/32

33: 名無しさん＠お腹いっぱい。 [sage] 2001/06/23(土) 03:44 ID:??? >>32 そのやり取りって、クッキー使ってんじゃないの? http://medaka.5ch.net/test/read.cgi/php/990627898/33

34: 名無しさん＠お腹いっぱい。 [sage] 2001/06/23(土) 13:09 ID:??? どっちにしてもcookie使わない方法はないと思うが。 もちろん、擬似的なセッション維持だとは思うけど。 データをどこにもつかって事だと思うけど、 cokkieはドメイン毎に4Kまでの制限があるから、 ふつうサーバーでデータは保持する。 http://medaka.5ch.net/test/read.cgi/php/990627898/34

35: 殿堂ナナシ [sage] 2001/06/23(土) 22:56 ID:??? クッキーだけでなく、サーバで発行したランダムなIDは次の いづれかでやりとりされる。 ・クッキー ・get リクエスト ・put リクエスト このIDを普通はセッションIDっていうよね。 最近の Java や PHP では意識はしなくてもいいけど。 http://medaka.5ch.net/test/read.cgi/php/990627898/35

36: 名無しさん＠お腹いっぱい。 [sage] 2001/06/24(日) 08:45 ID:??? ＞・クッキー ＞・get リクエスト ＞・put リクエスト 結局hidden以外はcookieじゃん。 http://medaka.5ch.net/test/read.cgi/php/990627898/36

37: 名無しさん＠おへそいっぱい。 [sage] 2001/06/24(日) 12:09 ID:??? URL Rewrite を忘れてる。<A HREF="/a/b/c;98A30x7"> みたい なの。現行のステートマネージメントは 　・Cookie の受け渡し 　・HIDDEN フィールド 　・URL Rewrite で行われている (Servet の話だけど)。 ちなみにセッション ID がランダムに振られるシステムは設計が おかしい。 http://medaka.5ch.net/test/read.cgi/php/990627898/37

38: 殿堂ナナシ [sage] 2001/06/24(日) 21:36 ID:??? 間違えた。。。 put は post です。。。 ・クッキー <- Cookie の受け渡し ・post リクエスト <- HIDDEN フィールド ・get リクエスト <- URL Rewrite 私の表現がおかしい〜？ URL Rewrite は クッキーが使えないときにAP サーバが セッションIDを URL に Rewrite するっていうものだよね。 最近、セキュリティ的に問題があるので使ってはいけないというのが 良く言われてるけど。 セッションIDがランダムに振られるのがおかしいというのはなぜ〜？ 最近はAPサーバにセッション管理が実装されてるから あまり意識してないもので。。。 一意性の問題？ http://medaka.5ch.net/test/read.cgi/php/990627898/38

39: 名無しさん＠おへそいっぱい。 [sage] 2001/06/25(月) 00:25 ID:??? そう、一意性の問題。普通はシーケンシャルに採番して一意性を 維持したままシャッフルすると思われる。ちょっと揚げ足を取っ てみただけ。 現行のステートマネージメントメカニズムは、どの方法も SSL と 組み合わせないとセキュリティ的に問題ありだね。というか そんなの Web の常識だったはずなのに、なぜ突然ひろみちゅが 騒ぎ始めたのか分からんよ。 URL Rewrite/HIDDEN フィールド 　ソースを見れば一目瞭然。URL 欄にも表示される。ジャンプ先 　サイトでは Referer ヘッダで参照可能 (ブラウザの種類と 　バージョンにもよる)。自サイトを SSL 化しても Referer 　ヘッダは漏れてしまうかも (なりすまし接続は無理だろうが)。 Cookie 　丸見えでない分 URL Rewrite/HIDDEN フィールドよりまし 　だが平文であることには変わりない。プロキシサーバなら 　余裕で盗める。期限付きのはファイルで残る。 # 昔、クライアント側の IP アドレスを使ってセッション ID # にハッシュかければセキュリティもバッチリでは? と発明 # しかけたが、程なくプロキシの存在を忘れているのに気づ # いた。 http://medaka.5ch.net/test/read.cgi/php/990627898/39

40: 名無しさん＠お腹いっぱい。 [AGE] 2001/06/25(月) 15:58 ID:??? >>30 クライアント側のクッキーにはIDのみで、 セッション情報はサーバ側に保存されるので セキュリティ的には問題ない と、どっかで読んだ覚えがあるんですが。 http://medaka.5ch.net/test/read.cgi/php/990627898/40

41: 40 [sage] 2001/06/25(月) 15:59 ID:??? >>30は>>39の間違いでした。 http://medaka.5ch.net/test/read.cgi/php/990627898/41

42: 名無しさん＠おへそいっぱい。 [mage] 2001/06/26(火) 10:43 ID:??? セッション ID を盗まれると言うことは、意味的にサーバサイドの セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは なく、どのような情報か想像しずらいという人間的な利点があるだけ。 ユーザ認証後のセッション ID を盗まれたら、アプリケーションを 乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL と併用せれ。 http://medaka.5ch.net/test/read.cgi/php/990627898/42

43: 名無しさん＠おへそいっぱい。 [mage] 2001/06/26(火) 10:45 ID:??? セッション ID を盗まれると言うことは、意味的にサーバサイドの セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは なく、どのような情報か想像しずらいという人間的な利点があるだけ。 ユーザ認証後のセッション ID を盗まれたら、アプリケーションを 乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL と併用せれ。 http://medaka.5ch.net/test/read.cgi/php/990627898/43

44: 名無しさん＠お腹いっぱい。 [sage] 2001/06/26(火) 15:40 ID:??? >43 ID+有効期限を暗号化して発行すれば、 多少マシになる。 http://medaka.5ch.net/test/read.cgi/php/990627898/44

45: 名無しさん＠おへそいっぱい。 [sage] 2001/06/26(火) 17:27 ID:??? >>44 その暗号化のキーは? http://medaka.5ch.net/test/read.cgi/php/990627898/45

46: 名無しさん＠おへそいっぱい。 [sage] 2001/06/26(火) 17:28 ID:??? >>44 その暗号化のキーは? http://medaka.5ch.net/test/read.cgi/php/990627898/46

47: 名無しさん＠お腹いっぱい。 [] 2001/06/26(火) 23:59 ID:DSIpbR1w >46 なんでもいいじゃない？ 暗号化も複合化もサーバーでやるんだから 実際にやってるけど、SIDとログインタイムをある形式にフォーマットして BASE64で暗号化して発行。クライアントから返されるSIDは形式のチェックで先ずはじく。 仮に、クッキー盗まれても有効期限内しか使えないし、 まあ、解読も可能だろうけど、一定期間でキーやアルゴリズム変えれば、 それなりに実用的だと思う。 なんか間違ってる？ http://medaka.5ch.net/test/read.cgi/php/990627898/47

48: 名無しさん＠お腹いっぱい。 [sage] 2001/06/27(水) 00:07 ID:??? Crypt::Blowfishで暗号化でした つくったのはおいらでないので間違ってるかも http://medaka.5ch.net/test/read.cgi/php/990627898/48

---

ﾒﾓ帳

(0/65535文字)

---

上下前次1-新書関写板覧索設栞歴

---

あと 173 ﾚｽあります
ｽﾚ情報 赤ﾚｽ抽出 画像ﾚｽ抽出 歴の未読ｽﾚ

---

Google検索

Wikipedia

---

ぬこの手 ぬこTOP 0.016s