Session管理してる? (221レス)
Session管理してる? http://medaka.5ch.net/test/read.cgi/php/990627898/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
46: 名無しさん@おへそいっぱい。 [sage] 2001/06/26(火) 17:28 ID:??? >>44 その暗号化のキーは? http://medaka.5ch.net/test/read.cgi/php/990627898/46
47: 名無しさん@お腹いっぱい。 [] 2001/06/26(火) 23:59 ID:DSIpbR1w >46 なんでもいいじゃない? 暗号化も複合化もサーバーでやるんだから 実際にやってるけど、SIDとログインタイムをある形式にフォーマットして BASE64で暗号化して発行。クライアントから返されるSIDは形式のチェックで先ずはじく。 仮に、クッキー盗まれても有効期限内しか使えないし、 まあ、解読も可能だろうけど、一定期間でキーやアルゴリズム変えれば、 それなりに実用的だと思う。 なんか間違ってる? http://medaka.5ch.net/test/read.cgi/php/990627898/47
48: 名無しさん@お腹いっぱい。 [sage] 2001/06/27(水) 00:07 ID:??? Crypt::Blowfishで暗号化でした つくったのはおいらでないので間違ってるかも http://medaka.5ch.net/test/read.cgi/php/990627898/48
49: 名無しさん@おへそいっぱい。 [] 2001/06/27(水) 00:52 ID:DNFpNq1I いくら強力な暗号化アルゴリズムを使っても、キーがサーバ側に あったら意味ないでしょ。盗んだ側にとっては ID が暗号化され ているかどうかなんて関係なく、盗んだ Cookie をそのまま送り 返せばよいのだから (だから >>39 でクライアント側の IP ア ドレスをキーにハッシュかけようとした)。 あ、俺が考えてるのは中継サーバ等で Cookie が盗まれた場合ね。 総当りでのセッション ID 盗難防止という話だったら暗号化だけで 効果は高い。んーでも総当りなんて目立つ方法で盗もうとする莫迦 いるか? だから、わざわざセッション ID を暗号化してもたいした 効果がないと思っただけ。 http://medaka.5ch.net/test/read.cgi/php/990627898/49
50: 名無しさん@おへそいっぱい。 [sage] 2001/06/27(水) 01:02 ID:??? すまん、ハッシュではなく可逆符号化だ…。 http://medaka.5ch.net/test/read.cgi/php/990627898/50
51: 名無しさん@お腹いっぱい。 [] 2001/06/27(水) 02:33 ID:IVYsrfFE 間にProxyが入ろうがどうしようが クライアント固有の識別ID(macアドレスとか)を 簡単に取れる手段があるといいんですがねえ。 プライバシー的には問題おおありですが。 そういうの、MSならやってくれ・・・ないか。さすがに。 http://medaka.5ch.net/test/read.cgi/php/990627898/51
52: 名無しさん@お腹いっぱい。 [me] 2001/06/27(水) 16:30 ID:??? proxyの問題を考えなければ簡単なんだけどね>セッションID盗難対策 503iのような、固体識別番号取得タグをどのブラウザも実装してくれれば 話は簡単だけれども。 確認が入るのでプライバシー的な問題も無いと思うし、MSさん実装して くれまいか。 http://medaka.5ch.net/test/read.cgi/php/990627898/52
53: 名無しさん@お腹いっぱい。 [age] 2001/07/02(月) 04:53 ID:??? SSL使え http://medaka.5ch.net/test/read.cgi/php/990627898/53
54: 名無しさん@お腹いっぱい。 [] 2001/07/02(月) 21:19 ID:T7UPCPm6 だめ。SSLで守れたと思っちゃだめ。はー いま(さらながらに)騒がれてるやつあるよね。 あれは相当驚異だよ。たぶん完全に防げてるサイトなんて数えるほど。 http://medaka.5ch.net/test/read.cgi/php/990627898/54
55: 名無しさん@お腹いっぱい。 [] 2001/07/02(月) 22:08 ID:pL9j.pM6 まじっすか? それって何? http://medaka.5ch.net/test/read.cgi/php/990627898/55
56: 名無しさん [sage] 2001/07/02(月) 22:14 ID:??? DoCoMoがNULLDOCOMOGW(だっけ?)を一般ユーザーに開放してくれればいいのに… http://medaka.5ch.net/test/read.cgi/php/990627898/56
57: 名無しさん@お腹いっぱい。 [sage] 2001/07/02(月) 22:19 ID:??? >>55 おれは54じゃないけど クレジットカード情報がサーバ上ではまるみえで、 ブラウザのURL直打ちで見れちゃったというニュースなら読んだ。 http://hwj-www.hotwired.co.jp/news/news/business/story/20010625102.html http://medaka.5ch.net/test/read.cgi/php/990627898/57
58: 名無しさん@お腹いっぱい。 [] 2001/07/03(火) 04:13 ID:PMTadY4o >>54 SSL とサイトへの侵入とがごっちゃになってないか? それとも SSL のポートを使って侵入 or 成りすましという話か? http://medaka.5ch.net/test/read.cgi/php/990627898/58
59: 名無しさん@お腹いっぱい。 [sage] 2001/07/03(火) 09:04 ID:??? Cookieは楽々盗めるって話。進入は無関係だけど… http://medaka.5ch.net/test/read.cgi/php/990627898/59
60: 名無しさん@お腹いっぱい。 [] 2001/07/03(火) 09:58 ID:.3Xwbm0A ソースはどこよ http://medaka.5ch.net/test/read.cgi/php/990627898/60
61: 名無しさん@お腹いっぱい。 [sage] 2001/07/03(火) 11:25 ID:??? 言っちゃってもいいかどうか解らん。広めるならもっと思いっきり広めないとだし。 実は知ってる人にはあたり前のことではあるが、C****S***-S********のことです。 解っててもそうそう防ぎ切れないもんでおれも困ってるの。もうここまでにしとくね。 きっとしかるべき機関なり人がしかるべきところで注意喚起してくれることを期待して。 http://medaka.5ch.net/test/read.cgi/php/990627898/61
62: 名無しさん@お腹いっぱい。 [sage] 2001/07/03(火) 11:47 ID:??? 被害立証できるんだったらオフラインでなんかすりゃいいじゃん。 http://medaka.5ch.net/test/read.cgi/php/990627898/62
63: 名無しさん@おへそいっぱい。 [] 2001/07/03(火) 13:41 ID:EU3mmkbg SSL で Cookie 盗んで、なりすましまで出来るものですか? マジできたら今まで言ったこと撤回するわ。 http://medaka.5ch.net/test/read.cgi/php/990627898/63
64: 名無しさん@お腹いっぱい。 [age] 2001/07/04(水) 15:40 ID:??? GETをはじく方法ってありますかね? たとえばxxxx.php?id=123がありid部分を違う数字に 変えれば違う情報が表示されます。 直接入力された時は処理できないようにしたいのですが・・・。 http://medaka.5ch.net/test/read.cgi/php/990627898/64
65: 名無しさん@お腹いっぱい。 [sage] 2001/07/04(水) 15:45 ID:??? 直接って事は自サイト等からリンクされてる場合は良いの? http://medaka.5ch.net/test/read.cgi/php/990627898/65
66: 名無しさん@お腹いっぱい。 [age] 2001/07/04(水) 16:23 ID:??? PHP4 のセッション変数って、オブジェクト(つまりクラスのインスタンス)は格納できるの? http://medaka.5ch.net/test/read.cgi/php/990627898/66
67: 名無しさん@お腹いっぱい。 [sage] 2001/07/04(水) 17:15 ID:??? >>64 サーバ側で何使ってるんだ? CGIならREQUEST_METHODを見る ServletならdoGet()とdoPost()で処理を分ける http://medaka.5ch.net/test/read.cgi/php/990627898/67
68: 名無しさん@おへそいっぱい。 [] 2001/07/04(水) 21:28 ID:U5Vc3q2o >>64 Apache 使ってるなら httpd.conf か .htaccess で GET がはじけるだろう。まにあるみれ。 http://medaka.5ch.net/test/read.cgi/php/990627898/68
69: 殿堂ナナシ [sage] 2001/07/04(水) 23:34 ID:??? >>66 セッションの登録について PHP4 マニュアルには 「変数名を保持する文字列または変数名からなる配列」 ってあるね。 Java だと Serializable なオブジェクト(Javabean とか)は 出来るのにね〜。 http://medaka.5ch.net/test/read.cgi/php/990627898/69
70: 66 [age] 2001/07/05(木) 01:19 ID:??? >>69 レスありがと。 あきらめきれずこんなテストコード書いたらちゃんとカウントアプしてくれた。 <?php class testFoo { var $count; function testFoo($i) { $this->count = $i; } function inc() { $this->count++; } function hello() { $this->inc();; echo("hello, " . $this->count . " times.\n"); } } session_start(); if (!isset($obj)) { $obj = new testFoo(0); session_register("obj"); } ?> <html> <h1> <?php $obj->hello(); ?> </h1> </html> /tmp覗いたら obj|O:7:"testfoo":1:{s:5:"count";i:3;} となんとなくシリアライズしてくれてる風味。 http://medaka.5ch.net/test/read.cgi/php/990627898/70
71: 名無しさん@お腹いっぱい。 [age] 2001/07/05(木) 12:38 ID:??? >>69 そのマニュアルの記述は、session_register(); の引数は 変数を表す文字列かその配列だよという意味だったんだね。 http://medaka.5ch.net/test/read.cgi/php/990627898/71
72: 名無しさん@お腹いっぱい。 [age] 2001/07/13(金) 13:41 ID:??? PHP4で各ユーザのセッションファイル(sess_*)の特定は セッションIDの取得すればよいのですかね? たとえばxxx.php?session_idのような感じでOKかな? じゃ、Hiddenで渡すとき、nameは何になるのでしょうか? 疑問だったので・・・・・。 http://medaka.5ch.net/test/read.cgi/php/990627898/72
73: 名無しさん@お腹いっぱい。 [] 2001/07/13(金) 14:14 ID:IqmDBVro >>64 例: $value=$HTTP_POST_VARS["hoge"]; これだとGET送信されたhoge(パラメータ名)の値は取れません。 phpの設定によっては使用できませんが。 http://medaka.5ch.net/test/read.cgi/php/990627898/73
74: 名無しさん@お腹いっぱい。 [sage] 2001/07/13(金) 16:50 ID:??? >>72 セッションIDって今まで意識してなかったけど、取得しないとなにか不都合あるの? http://medaka.5ch.net/test/read.cgi/php/990627898/74
75: 名無しさん@お腹いっぱい。 [] 2001/07/18(水) 09:56 ID:pNSSuY1U >>74 各ユーザのセッション情報を特定するということじゃないのかな? 例えば、各ユーザでカスタマイズされたページを出力 するとか・・・。 http://medaka.5ch.net/test/read.cgi/php/990627898/75
メモ帳
(0/65535文字)
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 146 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.013s