archived-doc-ja/reference/session/security.xml

<?xml version="1.0" encoding="utf-8"?>
<!-- $Revision$ -->
<!-- EN-Revision: 96c9d88bad9a7d7d44bfb7f26c226df7ee9ddf26 Maintainer: takagi Status: ready -->
<!-- CREDITS: shimooka,hirokawa -->

<chapter xml:id="session.security" xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink">
 <title>セッションとセキュリティ</title>
 <para>
  外部リンク: <link xlink:href="&url.session-fixation;">Session fixation</link>
 </para>
 <para>
  セッションモジュールは、セッションに保存した情報を見ることができる
  のがそのセッションを作成したユーザーだけであることを保証することが
  できません。セッションの完全性を積極的に守るには、そのセッションに
  紐づく値に応じた追加措置が必要です。
 </para>
 <para>
  セッションに運ばれるデータの重要性を評価し、必要な保護策を講じてください。
  この対策は、通常は何らかの犠牲を伴うもので、ユーザーの利便性を損なうことになります。
  例えば、単純なソーシャルエンジニアリングからユーザーを守るためには
  <literal>session.use_only_cookies</literal> を有効にする必要があります。
  この場合、ユーザー側でクッキーが常に有効となっていなければならず、
  有効でない場合はセッションが動作しなくなります。
 </para>
 <para>
  存在するセッションIDが第三者に洩れる手順は何種類かあります。
  洩れたセッションIDにより、第三者が特定のIDに関連する全てのリソー
  スにアクセスできるようになります。まず、セッションIDがURLにより伝
  送される場合です。外部サイトにリンクを張っている場合、外部サイト
  のreferrerログにセッションIDを含むURLが保存される可能性があります。
  第二に、よりアクティブな攻撃者がネットワークのトラフィックをモニ
  ターしている可能性があります。セッションIDが暗号化されていない場
  合、セッションIDはネットワーク上を平文テキストで伝送されます。
  解決策はサーバー上にSSLを実装し、ユーザーにSSLを必ず使用させることです。
 </para>
</chapter>

<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
vim600: syn=xml fen fdm=syntax fdl=2 si
vim: et tw=78 syn=sgml
vi: ts=1 sw=1
-->