新人の研修カリキュラムにセッションを追加する

新人の研修カリキュラムにセッションを追加することになった。というか、以前に「セッションも学んでほしい」と言われていたのを、私が忘れてただけだったりする。というわけでカリキュラムに追加。

この段階での確認項目
・セッションとは何かを説明できること
・セッションを実現するための仕組みについて、2つ以上の手法を説明できること
・セッションハイジャックと、その対策について説明できること

さて、perl でどうセッション実現しようかな。2003-08-13 のモジュールもいいが、単に cookie を使った簡単なやつにしようか。

- Cookie を使った簡単なセッションを実装する

ログイン画面で ID とパスワードによる認証が完了したら、セッション ID を振り出し、Cookie にセットする。

セッションデータは、/tmp/USER_NAME/session 以下 にファイルとして保存する。
ユーザ名が hiroaki ならば、 /tmp/hiroaki/session に保存。

クライアントからリクエストが来たら、セッション ID があるかどうかをチェックする。
セッション ID がリクエストに存在し、かつ有効であれば処理を続行。
セッション ID が存在しないか、存在しても無効な値か、タイムアウトしている場合はログイン画面を表示する。

- セッションハイジャックへの対策と考え方

カリキュラム終了後には、以下が必要な理由を説明できるようになっていてほしいな。

・セッション ID は、必ずサーバ側で生成したものをクライアントに与えるようにする。
・セッション ID の生成には、必ず乱数を含める。
(時刻 + 乱数 + サーバ側環境変数 + クライアント側環境変数) を md5 する、位は必要。
・リクエストされる度にセッション ID を振り出し直すと ID の強度を高められる。
・通信経路を暗号化しないと、盗聴されてセッション ID を乗っ取られる恐れがある。

【連載】セキュアなWebサイトを運営するための Webアプリケーションに潜むセキュリティホール
第3回 気を付けたい貧弱なセッション管理
http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole ...

[PHP-users 17254]Re: セッションハイジャック対策
http://ns1.php.gr.jp/pipermail/php-users/2003-August/017782. ...