PHPでケータイからセッションを使う場合の設定方法 へのコメント http://ke-tai.org/blog/2007/12/12/php_session_new/ ke-tai.org ケータイプログラマのためのコミュニティサイト。携帯電話向けWeb開発の技術情報を扱っています。 Sun, 13 May 2012 20:31:10 +0000 hourly 1 hiro より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-24077 hiro Fri, 26 Mar 2010 05:14:19 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-24077 >負荷と速度に大きな違いがあるのでしょうか? webサーバとDBサーバーを別ハードにて運用している場合、 DBサーバーとWEBサーバーで通信が発生します。 通信が発生するということは、 DBとのセッションを毎回確立する必要があります。 (Webサーバーの機能でDBセッションを保持することも可能ですが) サイトへの同時接続数にもよると思いますが、 すべてのページでDBにアクセスするのは、コストがかかり過ぎると思います。 インフラに投資できるプロジェクトであればさほど気にすることでもないかもしれませんが。 >負荷と速度に大きな違いがあるのでしょうか?
webサーバとDBサーバーを別ハードにて運用している場合、
DBサーバーとWEBサーバーで通信が発生します。

通信が発生するということは、
DBとのセッションを毎回確立する必要があります。
(Webサーバーの機能でDBセッションを保持することも可能ですが)

サイトへの同時接続数にもよると思いますが、
すべてのページでDBにアクセスするのは、コストがかかり過ぎると思います。
インフラに投資できるプロジェクトであればさほど気にすることでもないかもしれませんが。

]]> blue より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-21242 blue Sat, 01 Aug 2009 10:17:15 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-21242 >DBの負荷軽減という名目があります。 これ前から気になっているのですが、 実際どうなんでしょう? セッション関数使ってユーザー情報取得するのと、 DBからUIDでユーザー情報取ってくるのと、 負荷と速度に大きな違いがあるのでしょうか? どの程度の規模だとどのぐらいの規模なのでしょうか? >DBの負荷軽減という名目があります。
これ前から気になっているのですが、
実際どうなんでしょう?
セッション関数使ってユーザー情報取得するのと、
DBからUIDでユーザー情報取ってくるのと、
負荷と速度に大きな違いがあるのでしょうか?

どの程度の規模だとどのぐらいの規模なのでしょうか?

]]> vector より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-21136 vector Fri, 26 Jun 2009 07:13:12 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-21136 >一意なユーザーIDが取れるなら、外部にセッションを出す必要はありません。 単にユーザの情報を引き回すだけがセッションを利用する目的ではありません。 DBの負荷軽減という名目があります。 ユーザ情報を取得するにはDBにアクセスしなければなりませんし、ログイン処理があるのであれば、ログイン済チェックを毎ページ行わなければなりません。 規模が小さいと気になりませんが、ある程度大きくなってくると影響が出てきます。 ---- auとsoftbankはcookieを利用するということですが、3GC端末であれど、一部機種で利用できなかったりします。 突き詰めて考えると、古い機種やイレギュラーな機種などの対応などを含めて、3キャリアともURLにsessionidを乗せるのが上策かと思います。 セキュリティ面では以下の様にして高めることは可能です。 ・IP制限を行う ・セッション内のUIDと、アクセスしているUIDでの認証 ・UIDが取得できない場合は「ごめんなさい」 携帯の場合、ブラウザバックが当たり前ですので、session_regenerate_id()は常用しておりません。 >一意なユーザーIDが取れるなら、外部にセッションを出す必要はありません。
単にユーザの情報を引き回すだけがセッションを利用する目的ではありません。
DBの負荷軽減という名目があります。

ユーザ情報を取得するにはDBにアクセスしなければなりませんし、ログイン処理があるのであれば、ログイン済チェックを毎ページ行わなければなりません。

規模が小さいと気になりませんが、ある程度大きくなってくると影響が出てきます。

—-
auとsoftbankはcookieを利用するということですが、3GC端末であれど、一部機種で利用できなかったりします。

突き詰めて考えると、古い機種やイレギュラーな機種などの対応などを含めて、3キャリアともURLにsessionidを乗せるのが上策かと思います。

セキュリティ面では以下の様にして高めることは可能です。

・IP制限を行う
・セッション内のUIDと、アクセスしているUIDでの認証
・UIDが取得できない場合は「ごめんなさい」

携帯の場合、ブラウザバックが当たり前ですので、session_regenerate_id()は常用しておりません。

]]> ぺん より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-18861 ぺん Mon, 09 Feb 2009 06:25:15 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-18861 古い記事ですが、結論が出ていないようなのでコメントさせていただきます。 一意なユーザーIDが取れるなら、外部にセッションを出す必要はありません。 古い記事ですが、結論が出ていないようなのでコメントさせていただきます。

一意なユーザーIDが取れるなら、外部にセッションを出す必要はありません。

]]> health insurance tonik より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-15820 health insurance tonik Sat, 06 Dec 2008 20:56:21 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-15820 health insurance tonik <a href="http://www.disturbed1.com/users/healthinsurancetonik" rel="nofollow">tonik insurance health</a> health insurance tonik tonik insurance health

]]> PHP - session利用のまとめ - 1:n - DETELU Blog より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-12907 PHP - session利用のまとめ - 1:n - DETELU Blog Mon, 22 Sep 2008 04:49:24 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-12907 [...] 本はcookieのみ仕様可能な設定にしておく。携帯に対応する場合は下記ページのコメント欄が参考になりそう。 ke-tai.org > Blog Archive > PHPでケータイからセッションを使う場合の設定方法 [...] [...] 本はcookieのみ仕様可能な設定にしておく。携帯に対応する場合は下記ページのコメント欄が参考になりそう。 ke-tai.org > Blog Archive > PHPでケータイからセッションを使う場合の設定方法 [...]

]]> matsui より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-5511 matsui Wed, 14 May 2008 12:29:08 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-5511 maru_ccさん 拝見させていただきました。 大変参考になるコメントありがとうございます。 auの場合が大変そうですね。 クッキーベースをやめることで対応はできそうですが。。。 結局セッションIDをURLをつけるのってどうなの?という話に回帰してしまいますね。 maru_ccさん

拝見させていただきました。
大変参考になるコメントありがとうございます。

auの場合が大変そうですね。
クッキーベースをやめることで対応はできそうですが。。。

結局セッションIDをURLをつけるのってどうなの?という話に回帰してしまいますね。

]]> maru_cc より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-5376 maru_cc Tue, 13 May 2008 03:04:20 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-5376 ちょっと前の記事なのにコメントすいません。 au,SoftBankでCookieを使用したセッションをする場合に SSLをまたぐと問題が出てきます。 根本的な解決方法は思い浮かばないのですが。。 http://d.hatena.ne.jp/maru_cc/20080512/au_ssl_cookie http://d.hatena.ne.jp/maru_cc/20080512/mobile_ssl_cookie ちょっと前の記事なのにコメントすいません。

au,SoftBankでCookieを使用したセッションをする場合に
SSLをまたぐと問題が出てきます。
根本的な解決方法は思い浮かばないのですが。。

http://d.hatena.ne.jp/maru_cc/20080512/au_ssl_cookie
http://d.hatena.ne.jp/maru_cc/20080512/mobile_ssl_cookie

]]> matsui より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-3163 matsui Fri, 21 Mar 2008 02:31:51 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-3163 Gekikawa様 いつもコメントありがとうございます。そしてご返信が遅れて申し訳ありません。 なるほど納得です。私の視点はシステム屋としてのもので、一般の方にとっては意識せず友達に教えてしまうものなのですね。そうかもしれません。 metaタグの件もありがとうございます。勉強になります。 この件もそうですが、キャリア間で規格を統一して欲しいですね。 ドコモがクッキーに対応してくれれば、これらの問題は万事解決なんですが。 Gekikawa様

いつもコメントありがとうございます。そしてご返信が遅れて申し訳ありません。
なるほど納得です。私の視点はシステム屋としてのもので、一般の方にとっては意識せず友達に教えてしまうものなのですね。そうかもしれません。
metaタグの件もありがとうございます。勉強になります。
この件もそうですが、キャリア間で規格を統一して欲しいですね。
ドコモがクッキーに対応してくれれば、これらの問題は万事解決なんですが。

]]> Gekikawa より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-2944 Gekikawa Sun, 16 Mar 2008 11:43:19 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-2944 一定の結論が出ているところに恐縮ですが、セッションID入りのURLについて > メールでURLを他人に送信する際... なぜそんなことをするのか? サイトへのログイン認証時のURLなんてだれも他人に教えないでしょう? って思っていましたが、メールでURLを送信と言うのは いわゆる「お友達におしえる」っていう行為なんですね。 つまりユーザの多く(大多数?)はセッション入りのURLだろうと何だろうと 面白いと感じたサイトのURLはすぐ、そのままメールするようですね。 それが認証通過後のサイトコンテンツページのURLならば、なおさら 危機感を感じる事はないのでしょう。 (若年女性中心のサイトを運営している為かも知れませんが、最近↑を 教えてくれるような事例に出会いました。) 私が知る範囲ですが、現状ではお小遣いポイントサイトやHPスペース などでは一律URLにセッションIDを付加して、IDを変化させると言う事は していないと思います。 まぁジャンルがジャンルだけにそれで良いのかもしれませんが。 話を戻して、「アドレスを他人に教える」場合ですが、DoCoMoだと ブラウザ側の操作でそのようなメールが簡単に作成できるのですね。 (だからそれが問題になるのでしょうが) auだとブックマーク先のURLをmetaタグで指定できるのですが、 そういったことが可能であればなぁと思いました。 一定の結論が出ているところに恐縮ですが、セッションID入りのURLについて

> メールでURLを他人に送信する際…
なぜそんなことをするのか?
サイトへのログイン認証時のURLなんてだれも他人に教えないでしょう?
って思っていましたが、メールでURLを送信と言うのは
いわゆる「お友達におしえる」っていう行為なんですね。

つまりユーザの多く(大多数?)はセッション入りのURLだろうと何だろうと
面白いと感じたサイトのURLはすぐ、そのままメールするようですね。
それが認証通過後のサイトコンテンツページのURLならば、なおさら
危機感を感じる事はないのでしょう。
(若年女性中心のサイトを運営している為かも知れませんが、最近↑を
教えてくれるような事例に出会いました。)

私が知る範囲ですが、現状ではお小遣いポイントサイトやHPスペース
などでは一律URLにセッションIDを付加して、IDを変化させると言う事は
していないと思います。
まぁジャンルがジャンルだけにそれで良いのかもしれませんが。

話を戻して、「アドレスを他人に教える」場合ですが、DoCoMoだと
ブラウザ側の操作でそのようなメールが簡単に作成できるのですね。
(だからそれが問題になるのでしょうが)
auだとブックマーク先のURLをmetaタグで指定できるのですが、
そういったことが可能であればなぁと思いました。

]]> matsui より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-1780 matsui Thu, 21 Feb 2008 13:19:20 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-1780 携帯ユーザさん 度々コメントありがとうございます。 > メールでURLを他人に送信する際に、 > 一度アクセスすると思います。 > その後、他人がそのURLでアクセスしてもドコモの場合は、 > 端末IDなどで本人かどうか調べることはできないから、 > 素通りできてしまいます。 もしおっしゃることを正しく理解していなかったらすいません。 メールで他人にURLを送ったとしても、それは既にsession_regenerate_id()が動いた後のURL(古いセッションIDが記述されたURL)のため、送られた側の人はセッションを引き継げないと思ったのです。 PCのようにHTMLソースを見て、リンク等から新しいセッションIDを知ることができ、それを他人にメール出来ていれば別ですが。 どちらにしても、セッション情報を含んだアドレスを他人に教えるというその行為自体が一番の問題なのかもしれないですけどね。 携帯ユーザさん

度々コメントありがとうございます。

> メールでURLを他人に送信する際に、
> 一度アクセスすると思います。
> その後、他人がそのURLでアクセスしてもドコモの場合は、
> 端末IDなどで本人かどうか調べることはできないから、
> 素通りできてしまいます。

もしおっしゃることを正しく理解していなかったらすいません。

メールで他人にURLを送ったとしても、それは既にsession_regenerate_id()が動いた後のURL(古いセッションIDが記述されたURL)のため、送られた側の人はセッションを引き継げないと思ったのです。
PCのようにHTMLソースを見て、リンク等から新しいセッションIDを知ることができ、それを他人にメール出来ていれば別ですが。

どちらにしても、セッション情報を含んだアドレスを他人に教えるというその行為自体が一番の問題なのかもしれないですけどね。

]]> 携帯ユーザ より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-1752 携帯ユーザ Thu, 21 Feb 2008 01:19:56 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-1752 お返事ありがとうございます。 >こちらはあり得ません。 >なぜなら本人が一度アクセスしないと新しいセッションIDがわからないた>め、他人に教えることができないからです。 メールでURLを他人に送信する際に、一度アクセスすると思います。 その後、他人がそのURLでアクセスしてもドコモの場合は、端末IDなどで本人かどうか調べることはできないから、素通りできてしまいます。 その時、PHP内部でsession_regenerate_id()が作動してしまい、セッションIDが変わります。 他人がアクセスした後、本人がアクセスしようとしたら、セッションIDが変わっているため、さきほどのURLでは認証失敗ということになるのではないでしょうか? 間違っていたらすいません。 3/31が待ち遠しいですね! お返事ありがとうございます。

>こちらはあり得ません。
>なぜなら本人が一度アクセスしないと新しいセッションIDがわからないた>め、他人に教えることができないからです。

メールでURLを他人に送信する際に、一度アクセスすると思います。
その後、他人がそのURLでアクセスしてもドコモの場合は、端末IDなどで本人かどうか調べることはできないから、素通りできてしまいます。
その時、PHP内部でsession_regenerate_id()が作動してしまい、セッションIDが変わります。
他人がアクセスした後、本人がアクセスしようとしたら、セッションIDが変わっているため、さきほどのURLでは認証失敗ということになるのではないでしょうか?
間違っていたらすいません。

3/31が待ち遠しいですね!

]]> matsui より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-1739 matsui Wed, 20 Feb 2008 11:27:49 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-1739 携帯ユーザさん コメントありがとうございます。 セッション入りのURLを他人に教えてしまった場合、確かにセキュリティ上の問題がありますね。 ドコモ端末では、session_regenerate_idを使わない限り、これは避けられないと思います。 (他人に教えた時点で自己責任という面もありますが。。。) ただ、 > 他人にメールでURLを送信後、本人が一度もそのサイトに > アクセスせずに、URLを受信した他人がアクセスしてしまった > 場合、session_regenerate_id()されるので、 > 本人はアクセスできなくなるのではないでしょうか。 こちらはあり得ません。 なぜなら本人が一度アクセスしないと新しいセッションIDがわからないため、他人に教えることができないからです。 > mixiなどのサイトではどういう処理で簡単ログインさせているのでしょうか。 mixiで確認してみたところ、やはりURLの後ろにセッションIDが付加されているようです。 ですが、session_regenerate_id()は使用していないようで、アクセス毎にセッションIDが変わることはないようです。 ただ、3/31からドコモでもiモードIDが取れるようになるようですので、こちらを使うことで、この辺りの問題を一気に解消できそうな感じです。 携帯ユーザさん

コメントありがとうございます。
セッション入りのURLを他人に教えてしまった場合、確かにセキュリティ上の問題がありますね。
ドコモ端末では、session_regenerate_idを使わない限り、これは避けられないと思います。
(他人に教えた時点で自己責任という面もありますが。。。)

ただ、

> 他人にメールでURLを送信後、本人が一度もそのサイトに
> アクセスせずに、URLを受信した他人がアクセスしてしまった
> 場合、session_regenerate_id()されるので、
> 本人はアクセスできなくなるのではないでしょうか。

こちらはあり得ません。
なぜなら本人が一度アクセスしないと新しいセッションIDがわからないため、他人に教えることができないからです。

> mixiなどのサイトではどういう処理で簡単ログインさせているのでしょうか。

mixiで確認してみたところ、やはりURLの後ろにセッションIDが付加されているようです。
ですが、session_regenerate_id()は使用していないようで、アクセス毎にセッションIDが変わることはないようです。

ただ、3/31からドコモでもiモードIDが取れるようになるようですので、こちらを使うことで、この辺りの問題を一気に解消できそうな感じです。

]]> 携帯ユーザ より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-1721 携帯ユーザ Wed, 20 Feb 2008 02:29:41 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-1721 いつも拝見させてもらっています。 少し気になったのでコメントします。 携帯でのセッションを使う場合ですが、メールでURLを他人に教えてしまった時に問題が発生するのではないかと思います。 AUやsoftbankでは問題ないとしても、i-modeの場合、URLの後ろにsidを付けている状態ですので、リスクがあります。 他人にメールでURLを送信後、本人が一度もそのサイトにアクセスせずに、URLを受信した他人がアクセスしてしまった場合、session_regenerate_id()されるので、本人はアクセスできなくなるのではないでしょうか。(再びセッションを作成する処理をしない限り->端末IDを送信する必要がある) またその間になんらかの操作が行われた場合、なりすましも可能です。 mixiなどのサイトではどういう処理で簡単ログインさせているのでしょうか。 docomoの実機がないので検証できません。AU&softbankではURLにsidが埋め込まれていないので、cookieを使っているようです。 いつも拝見させてもらっています。
少し気になったのでコメントします。
携帯でのセッションを使う場合ですが、メールでURLを他人に教えてしまった時に問題が発生するのではないかと思います。
AUやsoftbankでは問題ないとしても、i-modeの場合、URLの後ろにsidを付けている状態ですので、リスクがあります。

他人にメールでURLを送信後、本人が一度もそのサイトにアクセスせずに、URLを受信した他人がアクセスしてしまった場合、session_regenerate_id()されるので、本人はアクセスできなくなるのではないでしょうか。(再びセッションを作成する処理をしない限り->端末IDを送信する必要がある)
またその間になんらかの操作が行われた場合、なりすましも可能です。

mixiなどのサイトではどういう処理で簡単ログインさせているのでしょうか。
docomoの実機がないので検証できません。AU&softbankではURLにsidが埋め込まれていないので、cookieを使っているようです。

]]> matsui より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-539 matsui Mon, 21 Jan 2008 04:21:57 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-539 再度記事を修正・追記しました。 再度記事を修正・追記しました。

]]> matsui より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-537 matsui Mon, 21 Jan 2008 01:43:20 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-537 Gekikawa様 コメントありがとうございます。 大変わかりやすい説明で参考になりました。 これで一定の結論が出た気がします。 3キャリア実機で動作を確認した後、適切と思われる形に記事を修正・追記しようと思います。 もしよろしければ、後ほどまたご確認をお願いいたします。 ありがとうございました。 Gekikawa様

コメントありがとうございます。
大変わかりやすい説明で参考になりました。

これで一定の結論が出た気がします。
3キャリア実機で動作を確認した後、適切と思われる形に記事を修正・追記しようと思います。
もしよろしければ、後ほどまたご確認をお願いいたします。
ありがとうございました。

]]> Gekikawa より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-515 Gekikawa Sun, 20 Jan 2008 13:44:04 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-515 携帯でのsessionは始めるまで結構苦労しました。 いくつか気になったので... >設定が有効になると、リンクの後ろに自動でセッションIDが付加され、セッション変数が引き継げるようになります。 設定次第でしょうが、クッキーが使えない環境の時に限り...とできます。 その場合auやSBでは特に何も気にせずPCと同様session使えます。 (URLにSIDが透過的に付加されません。) >リンク先のページにRefererが漏れてしまったり URLに埋め込みが必要なのは、実際i-modeのみでしょう。 それでいて、i-modeはリファラーを吐きません。 結局、上記のような状況にはならないのでは??? それでも気になるなら、画面遷移にaタグは全て使わず、postにすればよい。 この場合もPHPが勝手にhidden要素を付け加えてくれるから、URLはキレイ なままsessionは保たれます。 たしかにセッションハイジャックって行われたら恐ろしい事でしょうが、クッキーならOKでURLに埋め込むとダメっていうのは、携帯の事情を知らなすぎるのではないでしょうか? (>指摘された方) 携帯でのsessionは始めるまで結構苦労しました。

いくつか気になったので…

>設定が有効になると、リンクの後ろに自動でセッションIDが付加され、セッション変数が引き継げるようになります。
設定次第でしょうが、クッキーが使えない環境の時に限り…とできます。
その場合auやSBでは特に何も気にせずPCと同様session使えます。
(URLにSIDが透過的に付加されません。)

>リンク先のページにRefererが漏れてしまったり
URLに埋め込みが必要なのは、実際i-modeのみでしょう。
それでいて、i-modeはリファラーを吐きません。
結局、上記のような状況にはならないのでは???

それでも気になるなら、画面遷移にaタグは全て使わず、postにすればよい。
この場合もPHPが勝手にhidden要素を付け加えてくれるから、URLはキレイ
なままsessionは保たれます。

たしかにセッションハイジャックって行われたら恐ろしい事でしょうが、クッキーならOKでURLに埋め込むとダメっていうのは、携帯の事情を知らなすぎるのではないでしょうか?
(>指摘された方)

]]> matsui より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-494 matsui Thu, 17 Jan 2008 01:55:59 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-494 irokさん、またまたコメントありがとうございます。 大変参考になり助かります。 auとSoftBankの場合は、ほぼCookieが使えますし、端末IDの取得も容易なため、記事内の対応策1, 2の方法を使えば大丈夫そうですね。 問題はDoCoMoの場合ですが、こちらは扱う情報の重要度によって、利便性とセキュリティのトレードオフになってしまうのかな、と思っています。 対策案として次のようなものを考えてみました。 (1) 気にせずsession_regenerate_id()を使う。通信エラーが出た場合はやりなおしてもらう。(1番セキュア?) (2) 毎ページ端末IDを送信してもらう(同じくセキュアだが毎回ダイアログが出るため現実的ではない) (3) セッションの時間を短くして多少安全度を上げる(気休め程度の効果?) (4) セッションにユーザエージェントを持ち、アクセス毎に照合する(IPアドレス制限との併用でそこそこの効果?リファラが漏れている場合は、同時にUAも漏れているため完璧ではない。) 重要な個人情報を扱う場合は、多少利便性を低下させても(1)の方式を取らざるを得ないのかなと思っています。いかがでしょうか? せっかくの機会ですので、ここで最良と思われる方法を見つけ出したいと思っています。 ノウハウをご存知の方がいましたらぜひコメントをお願いします。 ※記事内にも注意書きを追加しました irokさん、またまたコメントありがとうございます。
大変参考になり助かります。

auとSoftBankの場合は、ほぼCookieが使えますし、端末IDの取得も容易なため、記事内の対応策1, 2の方法を使えば大丈夫そうですね。

問題はDoCoMoの場合ですが、こちらは扱う情報の重要度によって、利便性とセキュリティのトレードオフになってしまうのかな、と思っています。

対策案として次のようなものを考えてみました。

(1) 気にせずsession_regenerate_id()を使う。通信エラーが出た場合はやりなおしてもらう。(1番セキュア?)
(2) 毎ページ端末IDを送信してもらう(同じくセキュアだが毎回ダイアログが出るため現実的ではない)
(3) セッションの時間を短くして多少安全度を上げる(気休め程度の効果?)
(4) セッションにユーザエージェントを持ち、アクセス毎に照合する(IPアドレス制限との併用でそこそこの効果?リファラが漏れている場合は、同時にUAも漏れているため完璧ではない。)

重要な個人情報を扱う場合は、多少利便性を低下させても(1)の方式を取らざるを得ないのかなと思っています。いかがでしょうか?

せっかくの機会ですので、ここで最良と思われる方法を見つけ出したいと思っています。
ノウハウをご存知の方がいましたらぜひコメントをお願いします。

※記事内にも注意書きを追加しました

]]> 匿名 より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-493 匿名 Wed, 16 Jan 2008 15:42:17 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-493 これ消しておいたほうがよくね? これ消しておいたほうがよくね?

]]> irok より http://ke-tai.org/blog/2007/12/12/php_session_new/comment-page-1/#comment-491 irok Wed, 16 Jan 2008 09:20:40 +0000 http://ke-tai.org/blog/2007/12/12/php_session_new/#comment-491 一般に携帯の場合session_regenerate_id()は使用できないと思います。 またAUのproxyで同一リクエストを二回出す場合がなぜかあります。AUのproxyは要注意です。 一般に携帯の場合session_regenerate_id()は使用できないと思います。

またAUのproxyで同一リクエストを二回出す場合がなぜかあります。AUのproxyは要注意です。

]]>