【PHP】セッションについて語ろう！【PHP】

**nobodyさん** · 03/09/24 19:31

ブラウザを閉じたらセッションの効果がなくなるのって、
ブラウザを閉じることでクッキーを消しているからなのですね。。
知らなかったよーーーーうわーーーん

**nobodyさん** · 2006/11/26(日) 12:14:04

なんだ実際に試してないのか
空論で語られてもな

> 単純にセッションIDだけで管理
そりゃそうだ

**nobodyさん** · 2006/11/26(日) 12:47:44

お前バカ？

**nobodyさん** · 2006/11/26(日) 20:48:13

物理的にネット上のIPを奪ってセッションIDを盗み見られたら終わりだね。

**nobodyさん** · 2006/11/26(日) 21:11:02

こいつこそ馬鹿

**nobodyさん** · 2006/11/27(月) 09:31:58

たしかソフトあるだろ？

**nobodyさん** · 2006/11/30(木) 04:38:29

【セキュリティ上の注意】

php のセッションIDは、マイクロ秒単位の現在時刻 + ユーザーのリモートアドレス + combined-LCG（線形合同法自体は、疑似乱数生成方法としてはセキュアな方法ではない。）が種となっている。
セキュリティの専門家の高木浩光氏も「phpらしい駄目っぷりだ。」と批判している。

Unix 系の OS ならば php.ini などで /dev/urandom を乱数の種に使うように設定しよう。

次のように記述すれば良い。
| session.entropy_file = /dev/urandom
| session.entropy_length = 32

/dev/urandom では、周囲で発生するノイズ等の攻撃者に推測されない値をデバイスドライバや他の情報源から収集して、乱数の種として使用する。
これは、特殊なハードウェアが無い普通のPCでも使えて大変便利。
HDDの回転数、CPUの温度、ハードウェアの温度、マウスの動き、HDDの寿命、ハードウェアのエラーセクタ、HDDのSMART情報、周囲のノイズによる
ハードウェア内部エラーなど、PCにはセキュアな擬似乱数としての使用に耐える攻撃者に推測されない値がいっぱいそなわっているのだ。

参考:
http://tdiary.ishinao.net/20061120.html#p01
http://www.linux.or.jp/JF/JFdocs/Secure-Programs-HOWTO/random-numbers.html

**nobodyさん** · 2006/12/01(金) 11:08:38

>>683
マイクロ秒単位の現在時刻 + ユーザーのリモートアドレス + combined-LCG（線形合同法自体は、疑似乱数生成方法としてはセキュアな方法ではない。）が種となっている。
↑
それで充分。

/dev/urandom を乱数の種に使うように設定しよう。
↑
自己満足の世界

良い意味でも悪い意味でも、ＰＨＰ程度のスクリプト言語に何を求めているの？
と逆に問いただしたいものだ。

**nobodyさん** · 2006/12/02(土) 10:07:44

はげどう

**nobodyさん** · 2006/12/02(土) 10:33:56

>>684
> 良い意味でも悪い意味でも、ＰＨＰ程度のスクリプト言語に何を求めているの？

php程度って…、そのphpは銀行のシステムや証券会社のシステムでも使われてるよね？
まぁ大抵はaspだろうけどさ。

**nobodyさん** · 2006/12/02(土) 10:44:13

むしろPHPを使うのはこの程度の奴らかって思うけどな

**nobodyさん** · 2006/12/02(土) 11:02:10

>>684
> 良い意味でも悪い意味でも、ＰＨＰ程度のスクリプト言語に何を求めているの？

session.entropy_file という設定があるからには、
PHPはそういう利用法も想定していると推測できるでしょ？

偉そうな阿呆の書き込みを見ると疲れるな・・。

**nobodyさん** · 2006/12/02(土) 14:38:37

だよな
１．設定が用意されている
２．PHPはLinux以外のOSも対象にしているのでデフォルトは違う
脳みそのある人間ならこう考えるのが普通だと思う俺の視点では
＞＞＞「phpらしい駄目っぷりだ。」
こいつ痛すぎるだろｗ

で、設定変更すればよりセキュアな環境を提供できるにも関わらず
自己満足などと言い切るのは、とてもプロだとは思えないな

**nobodyさん** · 2006/12/02(土) 15:36:09

> ２．PHPはLinux以外のOSも対象にしているのでデフォルトは違う

そういや、Windows はセキュアな擬似乱数発生器持ってないのかなー
Unix の /dev/urandom みたいなやつ

乱数発生は本来プログラミング言語レベルじゃなくて、OSがやるべき話
ハードウェアのノイズを取得するのはOSがやるのが一番効率いいし

ちなみに、乱数の安全性ってのは馬鹿にできない話だよ

「ハッカーズその侵入の手口奴らは常識の斜め上を行く」にもあるように、
それでラスベガスのカジノでぼろもうけしたやつもいるしさ、オンラインゲーム(MMO)なんかでも
時間種乱数のせいでクラックされてゲームバランス崩れた例もある

>>689
> で、設定変更すればよりセキュアな環境を提供できるにも関わらず
> 自己満足などと言い切るのは、とてもプロだとは思えないな

激しく同意

**nobodyさん** · 2006/12/04(月) 10:59:25

いや、自己満足だろ。
クライアントから見て理解できない部分へのこだわりっていうのは、所詮は自己満足。
自己満足と分かった上でやるかやらないかだけだ。

つか、素人のくせにプロ面して語るのが激しくウザい。

**nobodyさん** · 2006/12/04(月) 13:55:31

俺はsmartyで挫折してcakephpでも挫折した男だけど、プロ意識は持ってます。

**nobodyさん** · 2006/12/04(月) 17:55:48

うちにはフロがありません。

**nobodyさん** · 2006/12/04(月) 20:01:21

そろそろ、セッション＝PHPじゃないって気が付こうぜ。

つーか、単発スレ使ってるなよ。

**nobodyさん** · 2006/12/04(月) 22:48:19

>>691
自分の事かｗ

**nobodyさん** · 2006/12/04(月) 23:03:51

マ板でや(ry

**nobodyさん** · 2006/12/06(水) 03:46:50

携帯でセッション持たせようとするときって、どうやってる？

**nobodyさん** · 2006/12/06(水) 11:20:50

>>697
携帯から取得できる一意キーを元に、アプリ側でセッションを作成してる。

**nobodyさん** · 2006/12/07(木) 06:09:04

>>698
レスありがとうございます。
それはPOSTの時にしか使えないと思いますが、GETでも必要な場合にはどうしていますか？

**nobodyさん** · 2006/12/07(木) 16:25:12

>>699
キャリアによるわ。
au だと EZ番号 (サブスクライバID) を常に送信するのがデフォルトだし。

個体識別番号を常に送信するのはプライバシー上問題あるが、セッションCookieにすら対応していない
糞キャリアドキュモの場合には、URIにセッションIDいれるというセッション固定攻撃の被害を受ける可能性のある
脆弱な実装しかできない。

**nobodyさん** · 2006/12/08(金) 07:34:22

>>700
レスありがとうございます。
なるほど。ある程度覚悟してましたが、やっぱり面倒臭そうですね。

**nobodyさん** · 2006/12/20(水) 23:22:08

そもそもプロならphpなんて使ってないだろ。
やっつけ仕事向けのVB感覚が売りなのに、しっかり業務としてインターネットに公開している企業は痛い。
金無いのかよと(w

あと、/dev/urandumは本当に乱数かどうか検証したのか？
疑似乱数って実装は、ありがちだぞ。リナックスは変に妥協してたりするし。

で、クッキー無しでセッションを安全に使う方法ってあるの？
クッキーなんて偽造できるし、セッションIDぐらい総当たりで突破できるし。

**nobodyさん** · 2006/12/21(木) 00:07:20

セッションに何を求めてんの？
安全にしたいならSSL＋ワンタイムパスででも武装しろよ

**nobodyさん** · 2006/12/21(木) 00:52:48

>>702
俺、そのPHPで今年は年収2000万超えたけどねｗ
金あるところにはあるもんだ。いくらでも需要ある。

**nobodyさん** · 2006/12/21(木) 10:30:45

>>702みたいな変なプライド持ってる開発者に限って、
ものを作らせるとインターフェースが糞で使い物にならない事が多いｗ

**nobodyさん** · 2006/12/21(木) 20:07:53

>>702

> あと、/dev/urandumは本当に乱数かどうか検証したのか？
> 疑似乱数って実装は、ありがちだぞ。リナックスは変に妥協してたりするし。

コード見ればわかるだろ
複数のハードウェアのノイズをもとに生産している乱数であって線形合同法とか時刻などは一切使ってない

**nobodyさん** · 2006/12/21(木) 21:45:57

>>702は周りが全く見えないバカの見本

**nobodyさん** · 2006/12/22(金) 01:56:52

全てのWEBアプリをCで書く人が居ると聞いて飛んできました

**nobodyさん** · 2006/12/22(金) 02:52:42

おまいらのOSってphpで動いてるのか？

２０００万のサイトってどこだよ。
個人情報対策できてるかどうかチェックしてやるよ。

ハードウェアのノイズって割と周期的だが。

**nobodyさん** · 2006/12/22(金) 03:04:32

さらしage

**nobodyさん** · 2006/12/22(金) 04:34:25

O　OSが
P　PHPで
U　動いているので

**nobodyさん** · 2006/12/22(金) 09:28:01

>>702
>そもそもプロならphpなんて使ってないだろ。

・・・

**nobodyさん** · 2006/12/22(金) 10:55:14

>>702の知識のなさがうかがえますね。

**nobodyさん** · 2006/12/22(金) 13:48:00

今日の迷言

おまいらのOSってphpで動いてるのか？

さて、次はどんな事書いて笑わせてくれるのでしょうか。この人は

**nobodyさん** · 2006/12/22(金) 13:51:42

>>709
＞２０００万のサイトってどこだよ。
質問の意味が分からんしｗ
俺は個人で小さな会社経営してて、小回りの効く分色んな仕事をとってこれるってだけだよ。
会社経営者なら分かると思うが、この仕事は経費作るの大変でさ、売り上げのほとんどが利益になってしまうから、
自分や従業員の給料を歩合制にしてるんだよ。

このスレにはSOHOやってるやつとかも多いんじゃね？手挙げてみ。

**nobodyさん** · 2006/12/22(金) 13:59:19

俺の経験上、>>702みたいな奴に限って、仕事任せると全然使いものにならないんだよなｗ

**nobodyさん** · 2006/12/22(金) 14:06:22

>>715

**nobodyさん** · 2006/12/22(金) 14:30:02

>702
>あと、/dev/urandumは本当に乱数かどうか検証したのか？

「本当に乱数か」
「本当に乱数か」
「本当に乱数か」
「本当に乱数か」
「本当に乱数か」
「本当に乱数か」
「本当に乱数か」

あまりにも酷い無知加減ですね

**nobodyさん** · 2006/12/22(金) 14:33:03

>>702には乱数の定義から教えないと駄目って事だな

**nobodyさん** · 2006/12/22(金) 23:50:54

> あと、/dev/urandumは本当に乱数かどうか検証したのか？
> 疑似乱数って実装は、ありがちだぞ。リナックスは変に妥協してたりするし。

何度見ても笑えるｗ
/dev/urandun はセキュアな擬似乱数生成器だ。

擬似乱数じゃない乱数なんてPCで生成するのは不可能だから
もし、生成できるソフトがあるんだったら教えてくれ

絶対ないけどな

**nobodyさん** · 2006/12/23(土) 01:32:20

702の人気に嫉妬

**nobodyさん** · 2006/12/23(土) 02:08:07

疑似乱数でなければ、セッションの意味ないだろ。乱数じゃないし。
総当たりされたら終わりだ

phpで稼いでるのってウェブデザだろ？　プロじゃないし。

**nobodyさん** · 2006/12/23(土) 09:47:05

稼いでいるのをプロって言うんじゃないのか？

**nobodyさん** · 2006/12/23(土) 11:59:28

どうでもいいけど>>702はVBの業務アプリケーションの多さを知らないのか？
C/S廃れてからは流石にあんまし見ないけどさ。

ちなみに今業務で使ってるのもPHPです。お手軽さが売りです。
本当にどうもありがとうございました。

**nobodyさん** · 2006/12/23(土) 17:39:18

VB.NETなんてインターネットに公開してたらすぐやられるけどな(w
phpサイトも個人情報漏れまくりだ。セッションも乗っ取り放題。

**nobodyさん** · 2006/12/23(土) 20:26:47

言語の話と関係ないじゃないかｗｗｗｗ

**nobodyさん** · 2006/12/23(土) 20:33:04

VB.NETの話と違うんじゃない
バック側の管理でVB使ってるところは沢山見たことあるぞ
非.NET時代のASPでも言語はVBが使われてたりしたけどな

**nobodyさん** · 2006/12/24(日) 01:45:11

言語が何であろうが、それで金稼げば一応はプロ。
年収１０００万以下の奴はカスだが。
どんなに素晴らしい能力があっても、ウンチクたれるだけで金稼げ無い奴は素人。

**nobodyさん** · 2006/12/24(日) 04:23:20

プログラムやHTML書けるけど、人と話せない引きこもりって居るよな。
買い叩かれて氏ねば良い。

**nobodyさん** · 2006/12/24(日) 19:13:32

めりーくりきんとん！

**nobodyさん** · 2006/12/25(月) 12:02:27

>>728
そういうことはまずは就職してからな。
みんなニートの妄想に付き合う程暇じゃないと思うよ

**nobodyさん** · 2006/12/25(月) 13:45:11

就職も糞も俺は会社経営者ですが(w

**nobodyさん** · 2006/12/25(月) 13:54:35

夢見るニート君

**nobodyさん** · 2006/12/26(火) 10:03:04

>>732
それは新しいニートの逃げ文句ですか？

**nobodyさん** · 2006/12/27(水) 20:31:17

社員1人なんだろ

**nobodyさん** · 2006/12/27(水) 21:08:54

あの、お忙しいところ、質問があります。
インターネットオプションで、クッキーの設定を行っているのですが、
クッキーが巧いこと、保存されません。

具体的には、プライバシー設定の詳細で
「自動Cookie処理を上書きする」のチェックをon,off両方を試し、
onの場合、どちらも受け入れるを選択、常にセッションCookieを許可するのon,offの
全てのパターンで試しました。

しかし、Cookieが保存されませんでした。
こういうことってあるのでしょうか？解決方法を教えていただける方いませんか？

**nobodyさん** · 2006/12/27(水) 21:42:31

serversideでちゃんとクッキーが発行されているのか？

**nobodyさん** · 2006/12/28(木) 10:08:55

別のクライアントブラウザからは、クッキーの発行が確認できました。

**nobodyさん** · 2006/12/28(木) 11:15:38

ブラウザのセキュリティーﾚﾍﾞﾙの設定等で受け入れられない状態とか

**nobodyさん** · 2006/12/29(金) 04:46:01

世の中にはクッキー非対応の環境も有るし。
ひたいおうでもうごくようにしとけ。

**nobodyさん** · 2007/02/14(水) 01:24:48

session.gc_maxlifetimeってデフォルトが24分(1440秒)なのは、実装した人の勘違い？
ちゃんと意味があるの？
というのは、session.cache_expireが180分(3時間)になってても、実際は24分で切れちゃうでしょ？
この辺を論理的に説明できる偉い人の登場を期待ｱｹﾞ

**nobodyさん** · 2007/02/14(水) 01:28:14

ごめん、sageた・・・

ついでに、このガーベージコレクションだけど、
/htdocs/を1440秒
/htdocs/admin/を3600秒に.htaccessなんかで変更した場合、（set_iniでもいいけど）
変更したディレクトリはちゃんと時間が反映されるんでしょうか？
（自分で試せば分かるだろって？そうですね・・・試してみます）

**nobodyさん** · 2007/02/14(水) 01:35:37

>>741の補足です。
なんで1440秒が勘違いかと思ったかというと、session.cache_expireが分指定だから、
session.gc_maxlifetimeも分指定の値になっているのかと。
つまり、GCは24時間毎に行う指定になっている？
でも、24時間って長すぎるよなぁ・・・
（つうか、この場合のGCってデフラグと同意だろうから、24時間サイクルじゃ頻繁すぎるのかなぁ？）

**nobodyさん** · 2007/02/14(水) 02:30:17

>>741
とりあえず>>652あたりを読んでから論理的な質問よろ。

**nobodyさん** · 2007/02/14(水) 02:30:58

>>741
まず、じぶんの環境ぐらいかけ。
話はそれからだ。

**nobodyさん** · 2007/02/14(水) 03:13:21

今のところ、説明できる人は登場していないらしい

**nobodyさん** · 2007/02/14(水) 03:24:00

>>746
死ぬまでに登場するといいですね。

**nobodyさん** · 2007/02/14(水) 03:28:14

またおまえか。つかれてんじゃないの？

**nobodyさん** · 2007/02/14(水) 09:53:54

疲れてる？
憑かれてる？
突かれてる？
吐かれてる？

**nobodyさん** · 2007/02/15(木) 23:28:35

>>746
「キャッシュ」がなんなのか理解してるか？
理解してるなら>652で十分な回答になるはずなんだが。

>>744
自分のレスを参照されてうれしかった。ありがとう。

**nobodyさん** · 2007/02/17(土) 06:19:47

>>750
君はその知識で実際に運用して、推測通りにセッションを
コントロールできてるか？伺いたいものだ。
例えば、セッション24時間にしょうとして、実現できているか？
できていないはずだ。自分で推測することは科学といわない
普遍的な（と思われる）手段で反証して確かめることが「科学的」なんだよ。

それと、デフォルトのmaxlifetimeが1440秒ということについての
ご意見をお伺いしたいのだが？

**nobodyさん** · 2007/02/17(土) 10:34:49

>>751
それは自然科学の考えだろ。
今相手にしているのは人工物で仕様が示されている。ソースコードもある。
デバッグを行う人間ならまだしも、利用者がその挙動確認をするために演繹を行うのは甚だ筋違いだ。

>それと、デフォルトのmaxlifetimeが1440秒ということについての
>ご意見をお伺いしたいのだが？
http://www.zend.com/lists/php-dev/200201/msg00239.html

**752** · 2007/02/17(土) 10:36:45

×演繹を行うのは甚だ筋違いだ。
○演繹や帰納に基づく実験を～

**nobodyさん** · 2007/03/20(火) 14:00:12

質問です

session_regenerate_id() でID再生成を行うと、
セッションの有効期限(gc_maxlifetime, cookie_lifetime)のカウントは
リセットされるんですか？

**nobodyさん** · 2007/04/01(日) 22:23:52

されるわけないだろ。なんでされると思うんだ？

**nobodyさん** · 2007/05/11(金) 11:21:48

マニュアル嫁、簡易なスクリプト書いて検証しろで片付くような質問は、なぜか延々繰り返される不思議

**nobodyさん** · 2007/05/11(金) 11:56:42

１ヶ月ぶりのレス乙

**nobodyさん** · 2007/06/03(日) 08:49:28

php内で
GCが走ったか（走るか）否かを検出する方法ってある？
あとGCが走った時ってレスポンスに差あるの？
大量のファイルを削除するのはそれなりに負荷があると思うんだけど

**nobodyさん** · 2007/06/03(日) 17:03:21

>>758
無い。
GC自体を自前で実装することはできるから、
それでどうにかすることはできる。

**nobodyさん** · 2007/06/03(日) 19:09:33

なんかPHPのセッションて糞すぎねーか？
パーセントでgcの割合指定するのも
アクセス数に左右されるおかしな仕様だし
微妙に挙動が良くわからんし。
PHP氏ね

**nobodyさん** · 2007/06/03(日) 22:43:08

>>760
文句あるなら使わなきゃいい。
技術力あるならextension作ればいい。

**nobodyさん** · 2007/06/04(月) 00:02:58

>>760
そういう人の為に、自前のセッション処理を簡単に組み込める関数まで用意されてるのにｗ

**nobodyさん** · 2007/07/12(木) 17:47:34

セッション使うより
会員制サイトならユニークIDにしたほうが効率よくない？

セッションだと
セッション→ID&PASS→DBより一致するデータを取得

ユニークIDだと
ユニークID→一致するデータを取得

GETにでも入れておけばいいんじゃね？

**nobodyさん** · 2007/07/13(金) 00:27:11

このスレもついにこのレベルにまで落ちたかｗ

**nobodyさん** · 2007/07/13(金) 00:32:17

すみません。根本的な質問なのですがセッションを使うのにライブラリーが
いりますか？ＰＨＰ５．２．２なのですがsession_start()を入れるだけで
ＰＨＰが動かなくなります。//でコメント扱いすると動作します。
ちなみにsession_start()のスペルミスなどではございません。

**nobodyさん** · 2007/07/13(金) 00:52:22

>>765
何かしらの出力の前にsession_start()してみろ

**nobodyさん** · 2007/07/13(金) 01:04:09

なんで曖昧な質問ばっかなんだよ。氏ね。

**nobodyさん** · 2007/07/13(金) 01:07:24

<?php
session_start();
としています。error_reportingが非表示？になってますので画面が白く
なるだけでエラーの内容はかえってきません。
サクラの専用サーバー借りたのですが初期設定でＧＤも使えないので
そういうのがセッションにもあるのか？と思いましてここで聞いています。

**nobodyさん** · 2007/07/13(金) 04:56:09

エラーログ見るかdisplay_errors設定すればいいじゃん。
それかphp -iかphpinfoでsessionの項目見てみたら？
何で専用サーバなんて借りたんだ。

**nobodyさん** · 2007/07/13(金) 06:38:58

レンタルでやっていたのですが負荷が高くて
専用じゃないとやれなくなりました

**nobodyさん** · 2007/07/15(日) 00:37:41

セッションハイジャックってどういう時に起こりうるの？

**nobodyさん** · 2007/07/15(日) 01:08:57

セッションと一緒に飛行機乗ってる時じゃね

**nobodyさん** · 2007/07/15(日) 01:32:35

>>771
1.セッション付きのURLから外部のサイトに飛びました
2.外部サイトの鯖ログ（もしくはアクセス解析）に、セッション付きのURLが残りました。
3.その外部サイトの管理者がURLにアクセスしました

セッション管理法が糞なら、こんな事でハイジャックされてしまう事もあるわな。
非常に低レベルなお話だが

**nobodyさん** · 2007/07/15(日) 01:33:12

2.外部サイトの鯖ログ（もしくはアクセス解析）に、セッション付きのURLが残りました。

↑これは、リファラとしてって事な。

**nobodyさん** · 2007/07/15(日) 01:49:10

>>771
実装次第だけど、セッションIDがどこに保存されているかは大体目星が付くよね？
それをどうにかして奪おうと頑張る人がいるんだよ。

**nobodyさん** · 2007/07/15(日) 17:28:02

>>773
それってURLがPHPSESSIDってなっているサイトだよね？

たまに大手サイトであるけど、ほとんどセッションはクッキーで保存
するタイプじゃないの？

**nobodyさん** · 2007/07/15(日) 22:10:31

ブラウザ側でクッキーが無効だったらURLに付加するしかねーだろ
恥を知れ

**nobodyさん** · 2007/07/15(日) 23:30:12

いや、それはわかってるよ。携帯サイトとかもだろ？
けど、上記に出てるようにセキュリティ的なリスクが高いじゃないか。