人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile
PHPで質問です。
現状はセッションIDをキーにログイン情報とログインしたPCを紐付けてますが
これをIPにすることは危険でしょうか?
●質問者: makocan
●カテゴリ:ウェブ制作
○ 状態 :終了
└ 回答数 : 4/4件
▽最新の回答へ
1 ● mikakane
●25ポイント

IPさえわかれば他人のセッションを取得できるので,
セッションハイジャックの危険性は非常に高くなると思います。

一般的な非固定の共有式IPでは意図せずに他人のセッションを取得できてしまうあたりが
非常に危険です。

makocanさんのコメント
$_SERVER['REMOTE_ADDR']から取得し、紐付けようと思っておりますが $_SERVER['REMOTE_ADDR']が偽装される場合でしょうか?
mikakaneさんのコメント
偽装とかの方法に関してはそれほど詳しくないのでなんとも言えませんが, 偽装目的でなくとも,IPは固定契約してない以上共有式ですよね? 自分が今使っているIPは他人が以前まで使っていたIPという可能性が十分にありえます。 あと同一LAN内では全部同じIPになりますし。
2 ● gizmo5
●25ポイント

危険かどうかの前に、期待通り動かない可能性があります。
そのWebサーバにつながってくるクライアントって、NAT とか IPマスカレードのようなグローバルIPアドレスを共有する仕組みを使ってないという保証はあるのでしょうか。

NAT などでのセッション継続時間は短めに設定されるのが普通です。
「セッション」といっても、質問文で書かれているセッションとは違い、NAT などでいうセッションは HTTP の1リクエストに相当します。

例えば、NAT のセッション継続時間が三分に設定されているとします。
PHP で作った画面は、飛行機の予約のように複数ページから構成されてて、次々と画面が移っていくような形になってるとして、2ページ目を表示している間に、トイレに行くなどして5分ほど放置してしまうと、3ページ目に遷移したときのリクエストでは、IPアドレスが変わっている可能性があります。

makocanさんのコメント
一応、決まった人間が使っておりまして、例外は無視で問題ございません。 その場合は如何ほどでしょうか?
3 ● tea_cup
●25ポイント

IPで識別できるかどうかは、ネットワーク構成に依存します。ネットワーク構成は、どのようになっていますか。

前回答のNATの他に、proxyサーバを使っている端末があれば、アプリケーションサーバからは、proxyサーバのIPアドレスから通信してきているように見えます。

4 ● 楽1978
●25ポイント

ほかの回答や検索で調べた結果、今は構造上大変危険ではないけど、絶対安全とも言えないのが真実ではないかと思います。IPアドレスが変わってしまえば接続できなくなるので。今は安全のためIPアドレスが変わるのが主流です。
稀に固定IPで契約することもあるけれど。
セッション変数でも完全に安全ではないというサイトもありました。
http://itpro.nikkeibp.co.jp/article/COLUMN/20080221/294390/

NAT/IPマスカレード
http://y-kit.jp/inet/page/masquerade.htm
proxyサーバー
http://www5.plala.or.jp/vaio0630/proxy/proxy.htm
IPアドレス
http://rikuntyudady.blog101.fc2.com/blog-entry-727.html

関連質問
●質問をもっと探す●

0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ