【freo】【freoTips】【携帯・スマホ用TIPS】携帯でセッションIDの漏えいを防ぐ処置
freoではログイン状態の保持にセッション機能を利用している。
セッションIDは「PHPSESSID」の形でURLに付加される。(Favorite Labo参照)
[freo/libs/freo/transfer.php]により、サイト内部の移動ではセッションIDが付加されることによってログイン状態が保持されるが、外部サイトへのリンクにはセッションIDは付加されない。
ただし、[freo/config.php]の基本設定で設置URLと設置URL(SSL用)の両方にデータが入っていないと、freo外部へのリンクにもセッションIDが付加されてしまう。
セッションIDの漏えいを防ぐ処置は以下の通り。
- [freo/config.php]をエディタで開く。
- 30行目の設置URL項目にfreoを設置しているURLを入力する。
- 33行目の設置URL(SSL用)項目にも同様に、SSLを利用していない場合であってもfreoを設置しているURLを入力する。
- [freo/config.php]を上書きしてアスキーモードでアップロード。
セッションIDが漏えいすることの危険性については下記を参照。
・セッションハイジャック(wikipedia)
・実は厄介、ケータイWebのセッション管理