Google ã®ã‚¦ã‚§ãƒ–ãƒã‚°å…¬é–‹ãƒ„ールを使ã£ã¦ã€ãƒ†ã‚ストã€å†™çœŸã€å‹•ç”»ã‚’共有ã§ãã¾ã™ã€‚
Blogger
Google ã®ã‚¦ã‚§ãƒ–ãƒã‚°å…¬é–‹ãƒ„ールを使ã£ã¦ã€ãƒ†ã‚ストã€å†™çœŸã€å‹•ç”»ã‚’共有ã§ãã¾ã™ã€‚
MongoDBã§PHPã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã‚’ã™ã‚‹ : エクスギア Blog
MongoDBã¯NoSQLã¨è¨€ã‚れるドã‚ュメント指å‘データベースã¨ã—ã¦æœ‰åã§ã™ã€‚ 以å‰å€‹äººçš„ã«symfony1ç³»ã§ã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã‚’MongoDBã§è¡Œã†sfMongoSessionStrageã¨ã„ã†ã®ã‚’書ã„ãŸã®ã§ã™ãŒã€ã‚‚ã£ã¨æ±Žç”¨çš„ã«ã‚¤ãƒ³ã‚¯ãƒ«ãƒ¼ãƒ‰ã™ã‚‹ã ã‘ã§æ™®é€šã®PHPスクリプトã§ã‚‚使ãˆã‚‹ã‚ˆã†ã«æ›¸ãç›´ã—ã¦ã¿ãŸã®ã§ç´¹ä»‹ã—ãŸã„ã¨æ€ã„ã¾ã™ã€‚ MongoDBã§ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã‚’è¡Œã†ãƒ¡ãƒªãƒƒãƒˆ å˜ä½“サーãƒãƒ¼ã§ã®é‹ç”¨ã§ã¯ãƒ¡ãƒªãƒƒãƒˆã¯ã»ã¨ã‚“ã©ç„¡ã„ã¨æ€ã„ã¾ã™ã€‚メリットãŒã‚ã‚‹ã®ã¯è¤‡æ•°å°æ§‹æˆã®ã‚µãƒ¼ãƒãƒ¼ã§PHPã®ã‚¢ãƒ—リケーションをé‹ç”¨ã™ã‚‹å ´åˆã§ã™ã€‚セッションã®ãƒ‡ãƒ¼ã‚¿ã‚’通常ã®ãƒ•ã‚¡ã‚¤ãƒ«ãƒ™ãƒ¼ã‚¹ã§è¡Œã†ã¨ã‚¢ã‚¯ã‚»ã‚¹ã—ã¦ã„ã‚‹Webサーãƒãƒ¼ã«ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒ‡ãƒ¼ã‚¿ãŒä¿å˜ã•ã‚Œã¾ã™ã€‚ãã®ãŸã‚複数å°æ§‹æˆã®å ´åˆã¯ã‚¢ã‚¯ã‚»ã‚¹ã™ã‚‹Webサーãƒãƒ¼ãŒç•°ãªã£ã¦ã—ã¾ã£ãŸå ´åˆã«ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒ‡ãƒ¼ã‚¿ã‚’èªã¿è¾¼ã‚ãªã„ã¨ã„ã†å•é¡ŒãŒç™ºç”Ÿã—ã¾ã™ã€‚ãã“ã§ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã‚’利用ã—ã¦ã‚»ãƒƒã‚·
PHP1-61:PHPã§ã‚»ãƒƒã‚·ãƒ§ãƒ³æ›¸ãæ›ãˆãã®2 - å¼±å°PHPerã®æ†‚鬱
å‰å›žã®ç¶šã。 Pear::HTTP_Session2ã®ä¸ã‚’見ã¦ã¿ã‚‹ã¨ã€session_set_save_handler()関数を使用ã—ã¦ã„ã¾ã™ã€‚ http://jp.php.net/manual/ja/function.session-set-save-handler.php ã“ã®session_set_save_handlerã¯session_start()ã¨ã‹$_SESSIONã¨ã‹ã®å‹•ä½œã‚’自由ã«å¤‰æ›´ã§ãã‚‹ã¨ã„ã†ç´ 敵関数ã§ã™ã€‚ 早速使ã£ã¦ã¿ã¾ã—ょã†ã€‚ session_handler.class.php 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 5
PHP1-60:PHPã§ã‚»ãƒƒã‚·ãƒ§ãƒ³æ›¸ãæ›ãˆ - å¼±å°PHPerã®æ†‚鬱
[PR]上記ã®åºƒå‘Šã¯3ヶ月以上新è¦è¨˜äº‹æŠ•ç¨¿ã®ãªã„ブãƒã‚°ã«è¡¨ç¤ºã•ã‚Œã¦ã„ã¾ã™ã€‚æ–°ã—ã„記事を書ã事ã§åºƒå‘ŠãŒæ¶ˆãˆã¾ã™ã€‚ HTTP_Session2 0.7.2 (beta) http://pear.php.net/package/HTTP_Session2 MDB2 2.5.0b2 (beta) http://pear.php.net/package/MDB2 MDB2_Driver_mysqli 1.5.0b2 (beta) http://pear.php.net/package/MDB2_Driver_mysqli PHPã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ã¯ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã§ã¯ãƒ•ã‚¡ã‚¤ãƒ«ã§ç®¡ç†ã•ã‚Œã¦ã„ã¾ã™ã€‚ /tmpã‚„C:\tmpç‰ã«ã€ sess_b84f39d3a34984b515ea715226f1b6fc ã¨ã„ã£ãŸãƒ•ã‚¡ã‚¤ãƒ«åã§ä¿å˜ã•ã‚Œã¦ã„ã¾ã™ã€‚ ä¸ã¯å˜ãªã‚‹ãƒ†ã‚ストファイルã§ã€è¦—ã„ã¦ã¿ã‚‹ã¨ã€$_SESSION['dat
PHP/ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç† - ãŒã—ã¾ã£ãã™
独自セッション管ç†ã®æ³¨æ„点 †DB, memcached ç‰ã‚’使ã£ã¦ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã‚’è¡Œã†å ´åˆã¯ã€ä»¥ä¸‹ã®ç‚¹ã«æ³¨æ„ã™ã‚‹ã€‚ php.ini ã® session.auto_start ã®å€¤ãŒ 0 ã«ãªã£ã¦ã„ãªã„ã¨æ£å¸¸ã«æ©Ÿèƒ½ã—ãªã„。 session.save_hander ã®å€¤ã‚’ user ã«ã™ã‚‹å¿…è¦ãŒã‚る。php.ini ã§è¨å®šã—ãŸããªã„å ´åˆã¯ ini_set() ã§è¨å®šã™ã‚‹ã€‚ PHP5.0.5以é™ã®å ´åˆã¯ session_start() を呼ã¶å‰ã«ä¸‹è¨˜ã‚’実行ã™ã‚‹ã€‚ register_shutdown_function('session_write_close'); ↑ MySQL を使ã£ãŸã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç† †セッション管ç†ç”¨ã®ãƒ†ãƒ¼ãƒ–ルを作æˆã—ã€ç‹¬è‡ªã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒãƒ³ãƒ‰ãƒ©ã‚’定義ã™ã‚‹ã€‚ ■テーブル sessions CREATE TABLE `sessions` ( `id` varchar(32
PHPã§ã‚»ãƒƒã‚·ãƒ§ãƒ³æƒ…å ±ãŒä½œæˆã•ã‚Œã‚‹ã‚¿ã‚¤ãƒŸãƒ³ã‚°ã‚’調ã¹ã¦ã¿ã¾ã—ãŸ
皆ã•ã‚“ã€ã“ã‚“ã«ã¡ã¯ã€‚笹亀ã§ã™ã€‚ MacBookAirã®ç™ºè¡¨ï¼†ç™ºå£²ã‚„iPhone4ã®ç™½ã®ç™ºå£²æ—¥ãŒå†ã€…延期ã¨ã„ã†ã“ã¨ã§ã„ã‚ã„ã‚ãªå‡ºæ¥äº‹ãŒã‚ã‚Šã¾ã—ãŸã€‚白を待ã£ã¦ã„ãŸè‡ªåˆ†ã«ã¨ã£ã¦ã¯æ®‹å¿µãªã®ã¨é»’ã‚’è²·ã£ã¦ã—ã¾ãŠã†ã‹ã¨æ‚©ã‚“ã§ã„ã¾ã™ã€‚ ã•ã¦ã€æœ¬æ—¥ã¯ä»Šã¾ã§ä½•æ°—ãªãセッションを使用ã—ã¦ã„ã¾ã—ãŸãŒã€å®Ÿéš›ã«ãƒ•ã‚¡ã‚¤ãƒ«ãƒ™ãƒ¼ã‚¹ã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ã®ã‚„ã‚Šã¨ã‚Šã§ãƒ•ã‚¡ã‚¤ãƒ«ãŒä½œæˆã•ã‚Œã‚‹ã‚¿ã‚¤ãƒŸãƒ³ã‚°ã¯ã©ã“ãªã‚“ã ã‚ã†ï¼Ÿã£ã¨ç–‘å•ã«æ€ã„ã€å®Ÿéš›ã«PHPã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ã®ä½œæˆã•ã‚Œã‚‹ãƒ•ã‚¡ã‚¤ãƒ«ã®æµã‚Œã«ã¤ã„ã¦èª¿ã¹ã¦ã¿ã¾ã—ãŸã€‚ 本日ã¯ãã®æµã‚Œã«ã¤ã„ã¦ã”紹介をã•ã›ã¦ã„ãŸã ãã¾ã™ã€‚ PHPã§ã‚»ãƒƒã‚·ãƒ§ãƒ³ã®æƒ…å ±ã®æµã‚Œã‚’調ã¹ã‚‹ã«ã¯PHP本体ã®ã‚½ãƒ¼ã‚¹ã‚’ã¿ã‚‹ã®ã‚‚ã„ã„ã§ã™ãŒã€æ‰‹è»½ã«ç¢ºèªã™ã‚‹ãŸã‚ã«ã€Œsession_set_save_handlerã€é–¢æ•°ã§èª¿ã¹ã‚‹ã“ã¨ã«ã—ã¾ã™ã€‚ ※所々ã«ãƒ‡ãƒãƒƒã‚¯ç¢ºèªç”¨ã«å‡ºåŠ›ã—ã¦ãŠã‚Šã¾ã™ã€‚ <?php function open($save_path
サービス終了ã®ãŠçŸ¥ã‚‰ã›
å¹³ç´ ã‚ˆã‚Šã€ŒPHPプãƒï¼ã€ã‚’ã”愛顧ã„ãŸã ãã€èª ã«ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚ 2006年よりé‹å–¶ã—ã¦ã¾ã„ã‚Šã¾ã—ãŸã€ŒPHPプãƒï¼ã€ã§ã™ãŒã€ã‚µãƒ¼ãƒ“スã®åˆ©ç”¨çŠ¶æ³ã‚’é‘‘ã¿ã¾ã—ã¦ã€2018å¹´9月25日(ç«æ›œæ—¥ï¼‰ã‚’ã‚‚ã¡ã¾ã—ã¦ã‚µãƒ¼ãƒ“スを終了ã•ã›ã¦ã„ãŸã ãã“ã¨ã«ãªã‚Šã¾ã—ãŸã€‚ サービス終了ã«ä¼´ã„ã¾ã—ã¦ã€2018å¹´8月28日(ç«æ›œæ—¥ï¼‰ã‚’æŒã¡ã¾ã—ã¦ã€æ–°è¦ä¼šå“¡ç™»éŒ²ãªã‚‰ã³ã«Q&A掲示æ¿ã¸ã®æ–°ãŸãªè³ªå•ã€å›žç”ã®æŠ•ç¨¿ã‚’åœæ¢ã•ã›ã¦ã„ãŸã ãã¾ã™ã€‚ ãªãŠã€ã”登録ã„ãŸã ã„ãŸçš†æ§˜ã®å€‹äººæƒ…å ±ã«ã¤ãã¾ã—ã¦ã¯ã€ã‚µãƒ¼ãƒ“ス終了後ã€å¼Šç¤¾ãŒè²¬ä»»ã‚’ã‚‚ã£ã¦æ¶ˆåŽ»ã„ãŸã—ã¾ã™ã€‚ ã“ã‚Œã¾ã§å¤šãã®çš†æ§˜ã«ã”利用をã„ãŸã ãã¾ã—ã¦ã€èª ã«ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã—ãŸã€‚ サービス終了ã«ä¼´ã„ã€çš†æ§˜ã«ã¯ã”ä¸ä¾¿ã‚’ãŠã‹ã‘ã„ãŸã—ã¾ã™ã“ã¨ã€å¿ƒã‚ˆã‚ŠãŠè©«ã³ç”³ã—上ã’ã¾ã™ã€‚ 本件ã«é–¢ã™ã‚‹ãŠå•ã„åˆã‚ã›ã¯ã“ã¡ã‚‰ã‚ˆã‚ŠãŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚
Zend_Authã§èªè¨¼ã—ãŸã‚‰ã‚»ãƒƒã‚·ãƒ§ãƒ³ã‚¿ã‚¤ãƒ アウトãŒè¨å®šæ™‚é–“ã©ãŠã‚Šã§å®¹èµ¦ãªã切れã¡ã‚ƒã† - Javaã¨rubyã¨ç”·ã¨å¥³
ãˆã£ã¨ä½•ãŒã„ã„ãŸã„ã®ã‹ã¨ã„ã†ã¨ãƒã‚°ã‚¤ãƒ³ã‚»ãƒƒã‚·ãƒ§ãƒ³ã®æŒç¶šæ™‚é–“ã¯ã€ã€Œæœ€å¾Œã®ã‚¢ã‚¯ã‚»ã‚¹ã‹ã‚‰1時間ã€ã¨ã„ã£ãŸæ„Ÿã˜ã«è¨å®šã—ãŸã„ã˜ã‚ƒãªã„ã§ã™ã‹ã€‚ãã‚ŒãŒZend_Auth使ã£ã¦æ™®é€šã«ã‚„ã‚‹ã¨ã€ã„ãら絶ãˆé–“ãªãアクセスã—ã¦ã¦ã‚‚指定時間ãŒãã‚‹ã¨ã‚¿ã‚¤ãƒ アウトã—ã¡ã‚ƒã†ã€‚ 「最後ã®ã‚¢ã‚¯ã‚»ã‚¹ã‹ã‚‰ã€ã¨ã„ã†é¢¨ã«ã™ã‚‹ãŸã‚ã«ã“ã‚“ãªæ„Ÿã˜ã«ã—ã¦ã¿ãŸã€‚ アクションクラス class MemberController extends Zend_Controller_Action {    public function loginAction(){        require_once 'Zend/Auth.php';        $auth = Zend_Auth::getInstance();        require_once dirname(__FILE__).'/../models/session/Exte
Tutorial - CGI::Sessionã®ã•ã‚‰ã«åºƒç¯„囲ã«æ¸¡ã£ã¦è¨˜è¿°ã•ã‚ŒãŸãƒžãƒ‹ãƒ¥ã‚¢ãƒ« - perldoc.jp
åå‰Â¶ Tutorial - CGI::Sessionã®ã•ã‚‰ã«åºƒç¯„囲ã«æ¸¡ã£ã¦è¨˜è¿°ã•ã‚ŒãŸãƒžãƒ‹ãƒ¥ã‚¢ãƒ« 状態メンテナンスã®å¤§è¦Â¶ HTTPã¯ã‚¹ãƒ†ãƒ¼ãƒˆãƒ¬ã‚¹ãªãƒ—ãƒãƒˆã‚³ãƒ«ã§ã™ã®ã§ã€WEBサイトã«å¯¾ã™ã‚‹ãã‚Œãžã‚Œã® webサイトã«å¯¾ã™ã‚‹ã‚¯ãƒªãƒƒã‚¯ã¯webサーãƒãƒ¼ã«ã‚ˆã£ã¦æ–°ã—ã„訪å•ã¨ã—ã¦æ‰±ã‚ã‚Œã¾ã™ã€‚ サーãƒãƒ¼ã¯ç›´å‰ã®è¨ªå•ã¨ã¯ç„¡é–¢ä¿‚ã§ã™ã€‚ã—ãŸãŒã£ã¦å…¨ã¦ã®ãれ以å‰ã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆ ã‹ã‚‰ã®çŠ¶æ…‹ã¯å¤±ã‚ã‚Œã¾ã™ã€‚ã“ã®ã“ã¨ã«ã‚ˆã£ã¦ã‚·ãƒ§ãƒƒãƒ”ングカートや〠ãƒã‚°ã‚¤ãƒ³èªè¨¼ãƒ«ãƒ¼ãƒãƒ³ã€ã‚»ã‚ュリティー上ã®åˆ¶é™ã‚’è¨ã‘るよã†ãªã‚µãƒ¼ãƒ“スãªã©ã¯ web上ã§ä¸å¯èƒ½ã«ãªã‚Šã¾ã™ã€‚よã£ã¦äººã€…ã¯HTTPãŒæˆ‘々を絶望的ãªçŠ¶æ³ã«æŠ•ã’入れる ã“ã¨ã«å¯¾ã—ã¦ä½•ã‚‰ã‹ã®å¯¾ç–ã‚’å–らãªã‘ã‚Œã°ãªã‚Šã¾ã›ã‚“ã§ã—ãŸã€‚ 我々を救ã†ã¹ãã€ä¸€å®šæœŸé–“ユーザーã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ã‚’ä¿ã¤HTTPクッã‚ーや クエリ文å—列ã¨è¨€ã£ãŸæŠ€è¡“ãŒèª•ç”Ÿã—ã¾ã—ãŸã€‚クッã‚ーåŠã³ã‚¯ã‚¨ãƒªæ–‡å—列ã ã‘ã§ã¯ RFC 2965, S
CGI::Application::Plugin::Session を使ã£ã¦ã¿ãŸ - ç†ç³»å¦ç”Ÿæ—¥è¨˜
ã‚„ãŸã‚‰é•·ã„モジュールåã«ãªã‚Šã¾ã™ã‘ã©ã‚‚ã€CGI::Application::Plugin::Session を使ã†ã“ã¨ã§ã€ã»ã¨ã‚“ã©ä½•ã‚‚æ„è˜ã—ãªã„ã§ã‚‚セッション管ç†ãŒã§ãるよã†ã«ãªã‚Šã¾ã—ãŸã€‚ 今ã®ã¨ã“ã‚ã€Driver ã«ã¯ mysql を使ã„ã€Serializer ã«ã¯ Data::Dumper を使ã£ã¦ã¾ã™ã€‚ CGI::Application::Plugin::Session ã‚’ use ã™ã‚‹ã¨ã€session_config ㌠CGI::Application ã®ãƒ¡ã‚½ãƒƒãƒ‰ã¨ã—ã¦ç”Ÿãˆã‚‹ã®ã§ã€CGI::Application ã®åˆæœŸåŒ–用フックメソッド cgi_appinit ã§ã€ã“れを呼ã³å‡ºã™ã ã‘ã§ã™ã€‚ã¼ãã®ä»Šã®è¨å®šã¯ã“ã‚“ãªã‹ã‚“ã˜ã€‚ $self->session_config( CGI_SESSION_OPTIONS => ['driver:mysql', $self->query, { D
僕ã®ãƒ¡ãƒ¢å¸³: CGI::Application::Plugin::Sessionã§ã®ã‚¯ãƒƒã‚ーå変更
CGI::Application::Plugin::Sessionã§cookieã®å称を変更ã—ãŸã„。docsã®é€šã‚Šã«ã‚„ã£ãŸã‘ã©é§„ç›®ã©ã†ã—ãŸã‚‰ã„ã„ã®ï¼Ÿ ã¨ã„ã†å•ã„ã«CAP::Sessionã®å®Ÿè£…ã§ã¯ã‚¯ãƒƒã‚ーåを変更ã§ããªã„ã‹ã‚‰CGI::Session->nameã«ç›´æŽ¥ã‚¢ã‚¯ã‚»ã‚¹ã—ã‚Œã¨ã„ã†å›žç”。 sub cgiapp_init { # 駄目 $self->session_config( COOKIE_PARAMS => { -name => 'MYCOOKIENAME' } ); # ã“ã†ã—ã‚Œ CGI::Session->name('MYCOOKIENAME'); $self->session_config( ... ); } ãŒã€ä»¥å‰ç§ã‚‚変更ã§ããªã„ã®ã§æ‚©ã‚“ã§ã„ã¦ã€ãã®æ™‚ã«ã‚‚åŒã˜ã‚ˆã†ã«CGI::Session->nameを試ã—ãŸã‚“ã ã‘ã©ã†ã¾ãã„ã‹ãš $CGI::Session::NAME =
ã¨ãã¾ã‚‹ã²ã‚ã—ã®Session Fixation攻撃入門 - ockeghem's blog
ã‚„ãã€ã¿ã‚“ãªï¼Œå…ƒæ°—?ã¨ãã¾ã‚‹ã²ã‚ã—ã§ã™ã€‚今日ã¯Session Fixation攻撃ã®æ–¹æ³•ã‚’ã“ã£ãã‚Šæ•™ãˆã¡ã‚ƒã†ã‚ˆã€‚ ã„ã¤ã‚‚ã¯é˜²å¾¡å´ã§æ¼¢å—ã®åå‰ã§ã‚„ã£ã¦ã‚‹ã‚“ã ã‘ã©ï¼Œãょã†ã¯æ”»æ’ƒå´ã¨ã„ã†ã“ã¨ã§ï¼Œåä¹—ã‚Šã‚‚ã²ã‚‰ãŒãªã«å¤‰ãˆãŸã‚“ã 。ã ã£ã¦ã•ï¼Œä»Šåº¦ãƒ‡ãƒ–サミã§ã”一緒ã™ã‚‹ã¯ã›ãŒã‚よã†ã™ã‘ã•ã‚“ã¨ã‹ï¼Œã¯ã¾ã¡ã¡ã‚ƒã‚“ã¨ã‹ï¼Œã²ã‚‰ãŒãªã®äººãŸã¡ã®æ–¹ãŒæ ¼å¥½è‰¯ã•ãã†ã˜ã‚ƒãªã„ã‹ã€‚ ã§ã¯å§‹ã‚よã†ã€‚ ã“ã®ã‚¨ãƒ³ãƒˆãƒªã¯ã€http://blog.tokumaru.org/2009/01/introduction-to-session-fixation-attack.html ã«ç§»è»¢ã—ã¾ã—ãŸã€‚æれ入りã¾ã™ãŒã€ç¶šãã¯ã€ãã¡ã‚‰ã‚’ã”覧ãã ã•ã„。
PHPã®Session Adoptionã¯é‡å¤§ãªè„…å¨ã§ã¯ãªã„ - ockeghem's blog
ãªãœPHPアプリã«ã‚»ã‚ュリティホールãŒå¤šã„ã®ã‹?:第25回 PHPã®ã‚¢ã‚レス腱ã«ã¦ã€å¤§åž£é–ç”·æ°ãŒPHPã®Session Adoptionå•é¡Œã«ã¤ã„ã¦å–り上ã’ã¦ã„る。大垣æ°ã¯åº¦ã€…ã“ã®å•é¡Œã‚’å–り上ã’ã¦ã„ã‚‹ãŒã€ä»Šã®ã¨ã“ã‚æ°ã®ä¸»å¼µã«åŒèª¿ã™ã‚‹äººã‚’見ã‹ã‘ãªã„。ãれもãã®ã¯ãšã§ã€å¤§åž£æ°ã®ä¸»å¼µã¯é–“é•ã£ã¦ã„ã‚‹ã¨ç§ã¯æ€ã†ã€‚ 以下ã€å¤§åž£æ°ã®ä¸»å¼µã‚’実際ã«è©¦ã—ã¦ã¿ã‚‹å½¢ã§ã€é †ã«èª¬æ˜Žã—よã†ã€‚ 大垣æ°ã®ä¸»å¼µ 大垣æ°ã®ä¸»å¼µã¯ã€PHPã«ã¯Session Adoption脆弱性ãŒã‚ã‚‹ãŸã‚ã«ã€æ¨™æº–çš„ãªSession Fixation対ç–ã§ã‚ã‚‹session_regenerate_id()ã‚’æ–½ã—ã¦ã‚‚ã€ãã®å¯¾ç–ã¯æœ‰åŠ¹ã§ã¯ãªã„ã¨ã„ã†ã‚‚ã®ã 。 ã—ã‹ã—,実際ã«ã¯ç¾åœ¨ã«è‡³ã‚‹ã¾ã§PHPã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒ¢ã‚¸ãƒ¥ãƒ¼ãƒ«ã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ã‚¢ãƒ€ãƒ—ション脆弱性ã¯ä¿®æ£ã•ã‚Œãªã„ã¾ã¾ã«ãªã£ã¦ã„ã¾ã™ã€‚ã“ã®ãŸã‚ã«ï¼Œæœ¬æ¥ã¯session_regenerate_id関数をãƒã‚°ã‚¤ãƒ³
第25回 PHPã®ã‚¢ã‚レス腱 ── ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç† | gihyo.jp
PHPã«ã¯HTTPセッション管ç†ãƒ¢ã‚¸ãƒ¥ãƒ¼ãƒ«ãŒæ¨™æº–ã§ä»˜ã„ã¦ãã¾ã™ã€‚ã“ã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒ¢ã‚¸ãƒ¥ãƒ¼ãƒ«ã«ã¯éžå¸¸ã«é‡å¤§ãªã‚»ã‚ュリティ上ã®è„†å¼±æ€§ãŒä¿®æ£ã•ã‚Œãšã«æ®‹ã£ã¦ã„ã¾ã™ã€‚ãã®è„†å¼±æ€§ã¨ã¯ã‚»ãƒƒã‚·ãƒ§ãƒ³ã‚¢ãƒ€ãƒ—ションã§ã™ã€‚ セッションアダプションã¨ã¯ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³å›ºå®šåŒ–攻撃ã«åˆ©ç”¨ã•ã‚Œã‚‹è„†å¼±æ€§ã§ã™ã€‚PHPã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ãƒ¢ã‚¸ãƒ¥ãƒ¼ãƒ«ãŒã‚»ãƒƒã‚·ãƒ§ãƒ³ã‚¢ãƒ€ãƒ—ションã«è„†å¼±ã§ã‚ã‚‹ã“ã¨ã¯ã€ã‹ãªã‚Šä»¥å‰ã€ä½•å¹´ã‚‚å‰ã‹ã‚‰çŸ¥ã‚‰ã‚Œã¦ã„ã¾ã™ã€‚ã—ã‹ã—ã€é–‹ç™ºè€…ã®ç†è§£ä¸è¶³ã‚ˆã‚Šè„†å¼±æ€§ãŒæ”¾ç½®ã•ã‚ŒãŸã¾ã¾ã«ãªã£ã¦ã„ã¾ã™ã€‚ セッションアダプションã¨ã¯ セッションアダプションã¨ã¯ã€ãƒ–ラウザç‰ã‹ã‚‰é€ä¿¡ã•ã‚ŒãŸæœªåˆæœŸåŒ–セッションIDã‚’ãã®ã¾ã¾åˆ©ç”¨ã—ã¦ã‚»ãƒƒã‚·ãƒ§ãƒ³ã‚’åˆæœŸåŒ–ã—ã¦ã—ã¾ã†è„†å¼±æ€§ã§ã™ã€‚ユーザãŒé€ä¿¡ã—ã¦ããŸIDã§ã‚‚第三者ã«äºˆæƒ³ã§ããªã„æ–‡å—列ã§ã‚ã‚Œã°å¤§ä¸ˆå¤«ãªã®ã§ã¯ï¼Ÿã¨è€ƒãˆã‚‹æ–¹ã‚‚ã„ã‚‹ã¨æ€ã„ã¾ã™ã€‚ãã®é€šã‚Šã§ç¬¬ä¸‰è€…ã«äºˆæƒ³ã§ããªã‘ã‚Œã°å•é¡Œãªã„ã§ã™ã—ã€ä»®ã«äºˆæƒ³ã§ãã¦ã‚‚ãƒã‚°ã‚¤ãƒ³ã™ã‚‹éš›
PHP:既知ã®ã‚»ã‚ュリティ脆弱性 – Session Adoption
(Last Updated On: 2018å¹´8月13æ—¥)追記:より新ã—ã„æƒ…å ±ã«ã¤ã„ã¦ã¯é–“é•ã„ã らã‘ã®HTTPセッション管ç†ã¨ãã®å¯¾ç–ã‚’ã©ã†ãžã€‚ PHPã«ã¯åºƒã知られã¦ã„ã‚‹ã«ã‚‚é–¢ã‚らãšæ”¾ç½®ã•ã‚Œã¦ã„る既知ã®ã‚»ã‚ュリティ脆弱性ãŒå¹¾ã¤ã‹ã‚ã‚Šã¾ã™ã€‚ãã®ä¸€ã¤ãŒã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒ¢ã‚¸ãƒ¥ãƒ¼ãƒ«ã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ã‚¢ãƒ€ãƒ—ション(Session Adoption)脆弱性ã§ã™ã€‚ã“ã®è„†å¼±æ€§ã¯ç¾åœ¨åºƒã利用ã•ã‚Œã¦ã„ã‚‹Webアプリケーションã®å®‰å…¨æ€§ã«ã€éžå¸¸ã«å¤§ããªå½±éŸ¿ã‚’与ãˆã‚‹è„†å¼±æ€§ã§ã™ã€‚ セッションアダプション脆弱性ã¨ã¯ã‚»ãƒƒã‚·ãƒ§ãƒ³å›ºå®šåŒ–攻撃をå¯èƒ½ã¨ã™ã‚‹è„†å¼±æ€§ã®ä¸€ç¨®ã§ã™ã€‚セッションアダプションã«è„†å¼±ãªã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã‚·ã‚¹ãƒ†ãƒ ã¯ã€ãƒ¦ãƒ¼ã‚¶(ブラウザ)ãŒé€ä¿¡ã—ã¦ããŸæœªåˆæœŸåŒ–ã®ã‚»ãƒƒã‚·ãƒ§ãƒ³IDã‚’å—ã‘入れã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ã‚’åˆæœŸåŒ–ã—ã¦ã—ã¾ã„ã¾ã™ã€‚PHPã«é™ã‚‰ãšã€Railsã‚„Javaã®ãƒ•ãƒ¬ãƒ¼ãƒ ワークç‰ã€å¤šãã®Webフレームワークã«ç™ºè¦‹ã•ã‚Œã¦ã„る脆弱性ã§ã™ã€‚
PHP5.3未満ã§ã®session_set_save_handler()ã®ãƒã‚°ãƒ¡ãƒ¢ - 自由ãªäººé–“(デジタル風味)
PHPã ã„ã“ã‚“ã®æ—¥ã€… : S2Daoã§ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†http://daikon.tea-nifty.com/blog/2007/03/s2eth.htmlBug #32330 session_destroy, "Failed to initialize storage module", custom session handler http://bugs.php.net/bug.php?id=32330上記URLã¨åŒã˜ãƒã‚°ã«ç§ã‚‚éé‡ã—ã¦ã—ã¾ã£ãŸã€‚session_set_save_handler() → session_start() → session_destroy() → session_start() ã¨è¡Œã†ã¨ã€ PHP Fatal error: session_start() [function.session-start]: Failed to initialize storag
Railsã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ã§ã¯ã¾ã‚‹
症状 Railsã§æ›¸è©•ç”Ÿæ´»ã¨ã„ã†ã‚ªãƒ¬ã‚ªãƒ¬è”µæ›¸ç®¡ç†ã‚·ã‚¹ãƒ†ãƒ を作ã£ã¦ã‚‹ã‚“ã§ã™ãŒã€ä¸€æ˜¨æ—¥ã‚ãŸã‚Šã‹ã‚‰ã¾ã£ãŸããƒã‚°ã‚¤ãƒ³ã§ããªã„状態ã«ãªã£ãŸã€‚ Session Expireã®è¨å®šã«é›£ã‚ã‚Š セッションã®ç”Ÿå˜æœŸé–“をユーザãŒæœ€å¾Œã«è¨ªã‚ŒãŸã¨ãã‹ã‚‰å›ºå®šã®æœŸé–“ã«ã™ã‚‹ã€ä»Šå›žã®ã‚·ã‚¹ãƒ†ãƒ ã§ã¯1ヶ月ã¨è¨å®šã—ã¦ã„ãŸã®ã ã‘ã‚Œã©ã‚‚ã€ä»¥ä¸‹ã®ã‚ˆã†ã«è¨å®šã™ã‚‹ã®ã¯é–“é•ã„らã—ã„。 class ApplicationController < ActionController::Base session :session_expires => 1.months.from_now end Wikiã®æ–¹ã«æ€ã„ã£ãり書ã„ã¦ã‚ã‚‹ã‘ã‚Œã©ã‚‚ã€é–‹ç™ºç’°å¢ƒã§ã¯ApplicationControllerã¯ãƒšãƒ¼ã‚¸ã‚’èªã¿è¾¼ã¾ã‚Œã‚‹ãŸã³ã«ãƒªãƒãƒ¼ãƒ‰ã•ã‚Œã‚‹ã‹ã‚‰ã€ãƒšãƒ¼ã‚¸ã‚’èªã¿è¾¼ã¾ã‚Œã‚‹ãŸã³ã«1ヶ月セッションを伸ã°ã—ã¦ãれる。ã—ã‹ã—本番環境ã§ã¯ApplicationContro
sessionã«æœ‰åŠ¹æœŸé™ã‚’è¨å®šã™ã‚‹æ™‚ã®è©¦ç·´ - ザリガニãŒè¦‹ã¦ã„ãŸ...。
Railsを使ã£ã¦ã„ã¦è‡ªåˆ†ã§ç›´æŽ¥cookieã‚’è¨å®šã™ã‚‹ã¨ã„ã†çŠ¶æ³ã¯ã»ã¨ã‚“ã©ãªãã€å¤§æŠµã¯sessionã‚’ãƒãƒƒã‚·ãƒ¥æ„Ÿè¦šã§ã€ä¾¿åˆ©ã«åˆ©ç”¨ã—ã¦ããŸã€‚Rails2.0以é™ã¯sessionã®ä¿å˜å…ˆã¯ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã§cookieã«ãªã‚Šã€ãã®ã¾ã¾åˆ©ç”¨ã™ã‚‹é™ã‚Šcookieã®æœ‰åŠ¹æœŸé™ã¯ç©ºæ¬„ã®ã¾ã¾ãªã®ã§ã€ãƒ–ラウザを終了ã™ã‚‹ã¾ã§sessionã¯ä¿æŒã•ã‚Œã‚‹ã“ã¨ã«ãªã‚‹ã€‚ãã—ã¦ã€æ¬¡å›žãƒ–ラウザを起動ã™ã‚‹ã¨ã€æœŸé™åˆ‡ã‚Œã®cookie(ãã®ä¸ã«sessionãŒä¿å˜ã•ã‚Œã¦ã„る)ã¯å‰Šé™¤ã•ã‚Œã¦ã„る。 ã»ã¨ã‚“ã©ã®å ´åˆã€ä¸Šè¨˜ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆè¨å®šã®ã¾ã¾ä½¿ã£ã¦ã„ãŸã‹ã€ã¾ãŸã¯restful_authenticationãªã©ã«é ¼ã‚Šãã‚Šã ã£ãŸã®ã§ã€ã„ã–自分ã§sessionã«æœ‰åŠ¹æœŸé™ã‚’è¨å®šã—よã†ã¨ã—ãŸæ™‚ã€è‹¦åŠ´ã—ã¦ã—ã¾ã£ãŸã€‚ã¨ã¦ã‚‚基本的ãªã“ã¨ã§ã‚ã‚‹ã®ã«...。 config/environment.rbã§ã®è¨å®š 2009-01-01 00:00:00ã¾ã§æœ‰åŠ¹ã«ã—
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
session_set_save_handlerã®ãƒã‚°(PHP4,PHP5共通) - ãŽã˜ã‚…ã£ã‚„ã•ã‚“
http://www.machu.jp/posts/20080101/p01/
{{#tags}}- {{label}}
{{/tags}}