TAMURA Toshihiko
tamur****@bitsc*****
2005年 7月 29日 (金) 09:15:01 JST
こんにちは、田村です。 以前にセッションハイジャック対策について投稿したのは、 セッションIDの付いたURLでリンクされた場合の問題です。 [Tep-j-general] セッションハイジャック対策(Recreate Session) http://lists.sourceforge.jp/mailman/archives/tep-j-general/2004-April/013436.html > osCommerceで運用しているサイトに、 > 外部のサイトからセッションIDの付いたURLでリンクされると、 > そこからやってきたユーザのセッションが区別できなくなって、 > 他人の名前やショッピングカートが見えてしまう場合があります。 Nagata Hayato wrote: > osCommerceでショッピングサイトを運営しています。 > 昨日夕刻あたりアクセス、ログイン共に多くサーバーに負荷が > かかった時点で > 後からログインしたお客さんに、先のお客さんのログイン情報 > が見えてしまう現象が起きました。 > サーバーに高負荷がかかりその後、軽くなって処理が進んだと > きにアクセスしたお客さんに起きています。 > > どうも先にログインしたお客さんに後からログインしたお客さ > んが重複してログインしているようです。 「セッションIDの付いたURLでリンクされた」状態を確認されましたか? それとも、アクセス後に何らかの原因で同じセッションIDが ついてしまったんでしょうか? 問題の顧客が最初にアクセスしたときのapacheのアクセスログを見れば これを確認できます。ぜひ調べてみてください。 それから、session.referer_check は利用した方がいいです。 > session.referer_check no value no value session.name はなぜセットされているんでしょう? 悪影響はないのかもしれませんが。 > session.name osCAdminsID PHPSESSID -- 田村敏彦 / 株式会社ビットスコープ E-mail:tamur****@bitsc***** http://www.bitscope.co.jp/
