• 虹色ミツバチ
  • freoカスタマイズメモ、テンプレート・プラグイン配布/officeTIPS
検索プラグイン
虹色ミツバチ

> Entry >freo>freoTips>携帯・スマホ用TIPS> 携帯でセッションIDの漏えいを防ぐ処置

【freo】【freoTips】【携帯・スマホ用TIPS】携帯でセッションIDの漏えいを防ぐ処置

freoではログイン状態の保持にセッション機能を利用している。
セッションIDは「PHPSESSID」の形でURLに付加される。(Favorite Labo参照)

[freo/libs/freo/transfer.php]により、サイト内部の移動ではセッションIDが付加されることによってログイン状態が保持されるが、外部サイトへのリンクにはセッションIDは付加されない。
ただし、[freo/config.php]の基本設定で設置URLと設置URL(SSL用)の両方にデータが入っていないと、freo外部へのリンクにもセッションIDが付加されてしまう。

セッションIDの漏えいを防ぐ処置は以下の通り。

  1. [freo/config.php]をエディタで開く。
  2. 30行目の設置URL項目にfreoを設置しているURLを入力する。
  3. 33行目の設置URL(SSL用)項目にも同様に、SSLを利用していない場合であってもfreoを設置しているURLを入力する。
  4. [freo/config.php]を上書きしてアスキーモードでアップロード。

セッションIDが漏えいすることの危険性については下記を参照。

セッションハイジャック(wikipedia)
実は厄介、ケータイWebのセッション管理

ページ移動

関連記事

ページ上部へ