メニュー

Home >freoTIPS>携帯・スマホ用TIPS> 携帯でセッションIDの漏えいを防ぐ処置

【freoTIPS】【携帯・スマホ用TIPS】携帯でセッションIDの漏えいを防ぐ処置

2012/04/17 21:11|タグ:セッション携帯グッジョブ表示 43

freoではログイン状態の保持にセッション機能を利用している。
セッションIDは「PHPSESSID」の形でURLに付加される。(Favorite Labo参照)

[freo/libs/freo/transfer.php]により、サイト内部の移動ではセッションIDが付加されることによってログイン状態が保持されるが、外部サイトへのリンクにはセッションIDは付加されない。
ただし、[freo/config.php]の基本設定で設置URLと設置URL(SSL用)の両方にデータが入っていないと、freo外部へのリンクにもセッションIDが付加されてしまう。

セッションIDの漏えいを防ぐ処置は以下の通り。

  1. [freo/config.php]をエディタで開く。
  2. 30行目の設置URL項目にfreoを設置しているURLを入力する。
  3. 33行目の設置URL(SSL用)項目にも同様に、SSLを利用していない場合であってもfreoを設置しているURLを入力する。
  4. [freo/config.php]を上書きしてアスキーモードでアップロード。

セッションIDが漏えいすることの危険性については下記を参照。

セッションハイジャック(wikipedia)
実は厄介、ケータイWebのセッション管理

ページ移動

関連エントリー

コメント

  • コメントはまだありません。

コメント登録

登録フォーム
名前
メールアドレス
URL
コメント
投稿キー(スパム対策に、投稿キー を半角で入力してください。)

ユーティリティ

Twitter

サイト内検索

ページ上部へ