Session管理してる? (221レス)
上下前次1-新
46(1): 名無しさん@おへそいっぱい。 2001/06/26(火)17:28 ID:??? AAS
>>44 その暗号化のキーは?
47: 名無しさん@お腹いっぱい。 2001/06/26(火)23:59 ID:DSIpbR1w(1) AAS
>46
なんでもいいじゃない?
暗号化も複合化もサーバーでやるんだから
実際にやってるけど、SIDとログインタイムをある形式にフォーマットして
BASE64で暗号化して発行。クライアントから返されるSIDは形式のチェックで先ずはじく。
仮に、クッキー盗まれても有効期限内しか使えないし、
まあ、解読も可能だろうけど、一定期間でキーやアルゴリズム変えれば、
それなりに実用的だと思う。
なんか間違ってる?
48: 名無しさん@お腹いっぱい。 2001/06/27(水)00:07 ID:??? AAS
Crypt::Blowfishで暗号化でした
つくったのはおいらでないので間違ってるかも
49: 名無しさん@おへそいっぱい。 2001/06/27(水)00:52 ID:DNFpNq1I(1) AAS
いくら強力な暗号化アルゴリズムを使っても、キーがサーバ側に
あったら意味ないでしょ。盗んだ側にとっては ID が暗号化され
ているかどうかなんて関係なく、盗んだ Cookie をそのまま送り
返せばよいのだから (だから >>39 でクライアント側の IP ア
ドレスをキーにハッシュかけようとした)。
あ、俺が考えてるのは中継サーバ等で Cookie が盗まれた場合ね。
総当りでのセッション ID 盗難防止という話だったら暗号化だけで
効果は高い。んーでも総当りなんて目立つ方法で盗もうとする莫迦
いるか? だから、わざわざセッション ID を暗号化してもたいした
効果がないと思っただけ。
50: 名無しさん@おへそいっぱい。 2001/06/27(水)01:02 ID:??? AAS
すまん、ハッシュではなく可逆符号化だ…。
51: 名無しさん@お腹いっぱい。 2001/06/27(水)02:33 ID:IVYsrfFE(1) AAS
間にProxyが入ろうがどうしようが
クライアント固有の識別ID(macアドレスとか)を
簡単に取れる手段があるといいんですがねえ。
プライバシー的には問題おおありですが。
そういうの、MSならやってくれ・・・ないか。さすがに。
52: 名無しさん@お腹いっぱい。 [me] 2001/06/27(水)16:30 ID:??? AAS
proxyの問題を考えなければ簡単なんだけどね>セッションID盗難対策
503iのような、固体識別番号取得タグをどのブラウザも実装してくれれば
話は簡単だけれども。
確認が入るのでプライバシー的な問題も無いと思うし、MSさん実装して
くれまいか。
53: 名無しさん@お腹いっぱい。 [age] 2001/07/02(月)04:53 ID:??? AAS
SSL使え
54(1): 名無しさん@お腹いっぱい。 2001/07/02(月)21:19 ID:T7UPCPm6(1) AAS
だめ。SSLで守れたと思っちゃだめ。はー
いま(さらながらに)騒がれてるやつあるよね。
あれは相当驚異だよ。たぶん完全に防げてるサイトなんて数えるほど。
55(1): 名無しさん@お腹いっぱい。 2001/07/02(月)22:08 ID:pL9j.pM6(1) AAS
まじっすか? それって何?
56: 名無しさん 2001/07/02(月)22:14 ID:??? AAS
DoCoMoがNULLDOCOMOGW(だっけ?)を一般ユーザーに開放してくれればいいのに…
57: 名無しさん@お腹いっぱい。 2001/07/02(月)22:19 ID:??? AAS
>>55
おれは54じゃないけど
クレジットカード情報がサーバ上ではまるみえで、
ブラウザのURL直打ちで見れちゃったというニュースなら読んだ。
外部リンク[html]:hwj-www.hotwired.co.jp
58: 名無しさん@お腹いっぱい。 2001/07/03(火)04:13 ID:PMTadY4o(1) AAS
>>54 SSL とサイトへの侵入とがごっちゃになってないか?
それとも SSL のポートを使って侵入 or 成りすましという話か?
59: 名無しさん@お腹いっぱい。 2001/07/03(火)09:04 ID:??? AAS
Cookieは楽々盗めるって話。進入は無関係だけど…
60: 名無しさん@お腹いっぱい。 2001/07/03(火)09:58 ID:.3Xwbm0A(1) AAS
ソースはどこよ
61(1): 名無しさん@お腹いっぱい。 2001/07/03(火)11:25 ID:??? AAS
言っちゃってもいいかどうか解らん。広めるならもっと思いっきり広めないとだし。
実は知ってる人にはあたり前のことではあるが、C****S***-S********のことです。
解っててもそうそう防ぎ切れないもんでおれも困ってるの。もうここまでにしとくね。
きっとしかるべき機関なり人がしかるべきところで注意喚起してくれることを期待して。
62: 名無しさん@お腹いっぱい。 2001/07/03(火)11:47 ID:??? AAS
被害立証できるんだったらオフラインでなんかすりゃいいじゃん。
63: 名無しさん@おへそいっぱい。 2001/07/03(火)13:41 ID:EU3mmkbg(1) AAS
SSL で Cookie 盗んで、なりすましまで出来るものですか?
マジできたら今まで言ったこと撤回するわ。
64(3): 名無しさん@お腹いっぱい。 [age] 2001/07/04(水)15:40 ID:??? AAS
GETをはじく方法ってありますかね?
たとえばxxxx.php?id=123がありid部分を違う数字に
変えれば違う情報が表示されます。
直接入力された時は処理できないようにしたいのですが・・・。
65: 名無しさん@お腹いっぱい。 2001/07/04(水)15:45 ID:??? AAS
直接って事は自サイト等からリンクされてる場合は良いの?
66(2): 名無しさん@お腹いっぱい。 [age] 2001/07/04(水)16:23 ID:??? AAS
PHP4 のセッション変数って、オブジェクト(つまりクラスのインスタンス)は格納できるの?
67: 名無しさん@お腹いっぱい。 2001/07/04(水)17:15 ID:??? AAS
>>64
サーバ側で何使ってるんだ?
CGIならREQUEST_METHODを見る
ServletならdoGet()とdoPost()で処理を分ける
68: 名無しさん@おへそいっぱい。 2001/07/04(水)21:28 ID:U5Vc3q2o(1) AAS
>>64 Apache 使ってるなら httpd.conf か .htaccess で
GET がはじけるだろう。まにあるみれ。
69(2): 殿堂ナナシ 2001/07/04(水)23:34 ID:??? AAS
>>66
セッションの登録について PHP4 マニュアルには
「変数名を保持する文字列または変数名からなる配列」
ってあるね。
Java だと Serializable なオブジェクト(Javabean とか)は
出来るのにね〜。
70: 66 [age] 2001/07/05(木)01:19 ID:??? AAS
>>69 レスありがと。
あきらめきれずこんなテストコード書いたらちゃんとカウントアプしてくれた。
<?php
class testFoo {
var $count;
function testFoo($i) {
$this->count = $i;
}
function inc() {
$this->count++;
}
function hello() {
$this->inc();;
echo("hello, " . $this->count . " times.\n");
}
}
session_start();
if (!isset($obj)) {
$obj = new testFoo(0);
session_register("obj");
}
?>
<html>
<h1>
<?php $obj->hello(); ?>
</h1>
</html>
/tmp覗いたら
obj|O:7:"testfoo":1:{s:5:"count";i:3;}
となんとなくシリアライズしてくれてる風味。
71: 名無しさん@お腹いっぱい。 [age] 2001/07/05(木)12:38 ID:??? AAS
>>69
そのマニュアルの記述は、session_register(); の引数は
変数を表す文字列かその配列だよという意味だったんだね。
72(1): 名無しさん@お腹いっぱい。 [age] 2001/07/13(金)13:41 ID:??? AAS
PHP4で各ユーザのセッションファイル(sess_*)の特定は
セッションIDの取得すればよいのですかね?
たとえばxxx.php?session_idのような感じでOKかな?
じゃ、Hiddenで渡すとき、nameは何になるのでしょうか?
疑問だったので・・・・・。
73: 名無しさん@お腹いっぱい。 2001/07/13(金)14:14 ID:IqmDBVro(1) AAS
>>64
例:
$value=$HTTP_POST_VARS["hoge"];
これだとGET送信されたhoge(パラメータ名)の値は取れません。
phpの設定によっては使用できませんが。
74(2): 名無しさん@お腹いっぱい。 2001/07/13(金)16:50 ID:??? AAS
>>72 セッションIDって今まで意識してなかったけど、取得しないとなにか不都合あるの?
75: 名無しさん@お腹いっぱい。 2001/07/18(水)09:56 ID:pNSSuY1U(1) AAS
>>74
各ユーザのセッション情報を特定するということじゃないのかな?
例えば、各ユーザでカスタマイズされたページを出力
するとか・・・。
上下前次1-新書関写板覧索設栞歴
あと 146 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 0.015s