どうか教えて下さい!
| 質問 > フロント機能 > session_idをURLに表示しないようにする |
フロント機能
 |
| スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
| 投稿者 | スレッド |
|---|---|
| ゲスト |
投稿日時: 2010/12/21 2:06
対応状況: −−−
|
|
session_idをURLに表示しないようにする こんばんわ。
EC-CUBEでsession_idをURLに表示させないようにする 設定方法などはあるのでしょうか? セッションハイジャックが気になるので質問させて頂きました。 また他の方がどういう対処をされているのか等もご意見頂ければと思います。 よろしくお願いします。 |
|
| AMUAMU |
投稿日時: 2010/12/21 6:22
対応状況: −−−
|
神   登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: session_idをURLに表示しないようにする EC-CUBEではPC画面ではセッションIDをURLには出していないと思います。
もし出ているようであればサーバー環境固有の話かと思います。 携帯側サイトはCOOKIE未対応機種への対応上、必ずセッションIDが入ります。意図的に切る事は可能ですがカスタマイズが必要かと思います。 EC-CUBEでは適切なsession regenerateがされているため、セッションハイジャックの可能性は最低限に抑えられていて、さらにCSRF対策が必要なところで行われており、多くの大手サイトと同等レベルかと思います。 また下記をお読み頂いて質問をされることをオススメします。 http://xoops.ec-cube.net/modules/tinyd0/index.php?id=8
|
| ecbeginner |
投稿日時: 2010/12/21 10:57
対応状況: −−−
|
常連   登録日: 2010/1/26 居住地: 大阪 投稿: 46 |
Re: session_idをURLに表示しないようにする お世話になります。
私も以前、トップページ等からの商品詳細ページおよび商品一覧ページへのリンクURLにセッションIDがついて表示されてしまい困っておりました。 URLにセッションID(PHPSESSID)がついて表示される場合の対処法 .htaccess この方法で他に問題がでないのかはわかりませんが、私の環境では携帯サイトでのセッション保持もできているようです。 AMUAMU様、この対処方で問題はなさそうでしょうか? ----------------------------------------------------------- [EC-CUBE] 2.4.2 [OS] Linux [PHP] PHP 5.2.11 [データベース] MySQL 5.0.27-standard-log [WEBサーバー] Apach [レンタルサーバ] ファーストサーバ
|
| AMUAMU |
投稿日時: 2010/12/21 19:06
対応状況: −−−
|
神 登録日: 2009/5/2 居住地: 東京都 投稿: 2712 |
Re: session_idをURLに表示しないようにする 問題になるかは設定次第、ポリシー次第という感じでしょうか?
「 session.use_only_cookies 1 」 という設定は、セッションをクッキー利用に固定します。 PC側サイトのディレクトリに上を設定するのは問題はほぼありません。 一方携帯サイト側に上記設定が反映された場合、ドコモの7割程度の機種で携帯サイトが動かないと思います(ドコモはクッキー対応していない機種が非常に多いです)。 携帯サイトのディレクトリでは session.use_only_cookies 0 としてあれば問題は出ません。 なお上位ディレクトリに設定してある場合、下位のディレクトリで設定されていなければ上位の設定を引き継ぎますので、設定に気をつけた方が良いと思います。 トップページからセッションIDが付くのは設定などの問題かなとは思います。 何かしら不要なリダイレクトでもされているのかなと・・・委細はログ等を追っかけてみないと、わかりません・・・
|
| ecbeginner |
投稿日時: 2010/12/22 12:03
対応状況: −−−
|
常連 登録日: 2010/1/26 居住地: 大阪 投稿: 46 |
Re: session_idをURLに表示しないようにする AMUAMU様
お世話になります。 引用: 一方携帯サイト側に上記設定が反映された場合、ドコモの7割程度の機種で携帯サイトが動かないと思います(ドコモはクッキー対応していない機種が非常に多いです)。 今まで気づいていなかったですが、これは非常にまずいです  なんせ私どものサイトは、8割が携帯からのお客様なもので… 引用: 携帯サイトのディレクトリでは session.use_only_cookies 0 としてあれば問題は出ません。 なお上位ディレクトリに設定してある場合、下位のディレクトリで設定されていなければ上位の設定を引き継ぎますので、設定に気をつけた方が良いと思います。 引用: トップページからセッションIDが付くのは設定などの問題かなとは思います。 何かしら不要なリダイレクトでもされているのかなと・・・委細はログ等を追っかけてみないと、わかりません・・・ ご教示ありがとうございます。 早速確認し、修正致しますね 
|
| ゲスト |
投稿日時: 2010/12/22 17:28
対応状況: 確認中
|
|
Re: session_idをURLに表示しないようにする AMUAMUさん
ご返信が遅くなりました。 >>EC-CUBEではPC画面ではセッションIDをURLには出していないと思います。 >>もし出ているようであればサーバー環境固有の話かと思います。 なるほどサーバー環境の問題なのですね。確認してみます。 携帯もカスタマイズで非表示にする事は可能なんですね。 ありがとうございます。 EC-CUBEバージョン 2.4.3c PHPバージョン PHP 5.1.6 DBバージョン PostgreSQL 8.1.11 |
|
| スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |
