PHPで質問です。

現状はセッションIDをキーにログイン情報とログインしたPCを紐付けてますが
これをIPにすることは危険でしょうか?

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2012/09/14 01:30:12
  • 終了:2012/09/21 01:35:03

回答(4件)

id:mikakane No.1

mikakane回答回数14ベストアンサー獲得回数42012/09/14 04:08:05

ポイント25pt

IPさえわかれば他人のセッションを取得できるので,
セッションハイジャックの危険性は非常に高くなると思います。

一般的な非固定の共有式IPでは意図せずに他人のセッションを取得できてしまうあたりが
非常に危険です。

id:makocan

$_SERVER['REMOTE_ADDR']から取得し、紐付けようと思っておりますが
$_SERVER['REMOTE_ADDR']が偽装される場合でしょうか?

2012/09/14 04:41:45
id:mikakane

偽装とかの方法に関してはそれほど詳しくないのでなんとも言えませんが,
偽装目的でなくとも,IPは固定契約してない以上共有式ですよね?
自分が今使っているIPは他人が以前まで使っていたIPという可能性が十分にありえます。

あと同一LAN内では全部同じIPになりますし。

2012/09/14 04:45:14
id:gizmo5 No.2

gizmo5回答回数484ベストアンサー獲得回数1382012/09/14 10:50:51

ポイント25pt

危険かどうかの前に、期待通り動かない可能性があります。
そのWebサーバにつながってくるクライアントって、NAT とか IPマスカレードのようなグローバルIPアドレスを共有する仕組みを使ってないという保証はあるのでしょうか。

NAT などでのセッション継続時間は短めに設定されるのが普通です。
「セッション」といっても、質問文で書かれているセッションとは違い、NAT などでいうセッションは HTTP の1リクエストに相当します。

例えば、NAT のセッション継続時間が三分に設定されているとします。
PHP で作った画面は、飛行機の予約のように複数ページから構成されてて、次々と画面が移っていくような形になってるとして、2ページ目を表示している間に、トイレに行くなどして5分ほど放置してしまうと、3ページ目に遷移したときのリクエストでは、IPアドレスが変わっている可能性があります。

id:makocan

一応、決まった人間が使っておりまして、例外は無視で問題ございません。
その場合は如何ほどでしょうか?

2012/09/14 19:09:18
id:tea_cup No.3

tea_cup回答回数1018ベストアンサー獲得回数1832012/09/15 16:45:07

ポイント25pt

IPで識別できるかどうかは、ネットワーク構成に依存します。ネットワーク構成は、どのようになっていますか。

前回答のNATの他に、proxyサーバを使っている端末があれば、アプリケーションサーバからは、proxyサーバのIPアドレスから通信してきているように見えます。

id:maya70828 No.4

楽1978回答回数1364ベストアンサー獲得回数1392012/09/19 23:50:04

ポイント25pt

ほかの回答や検索で調べた結果、今は構造上大変危険ではないけど、絶対安全とも言えないのが真実ではないかと思います。IPアドレスが変わってしまえば接続できなくなるので。今は安全のためIPアドレスが変わるのが主流です。
稀に固定IPで契約することもあるけれど。
セッション変数でも完全に安全ではないというサイトもありました。
http://itpro.nikkeibp.co.jp/article/COLUMN/20080221/294390/

NAT/IPマスカレード
http://y-kit.jp/inet/page/masquerade.htm
proxyサーバー
http://www5.plala.or.jp/vaio0630/proxy/proxy.htm
IPアドレス
http://rikuntyudady.blog101.fc2.com/blog-entry-727.html

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません