今日ならった2つのセッション攻撃
①セッションID固定化攻撃
②セッションハイジャック
を理由にセッションIDをログイン人確認直後に再生成することが望ましい。
(ログイン前にセッションIDの固定化攻撃されて取られたセッションIDをログインすることで無効にする。
ログイン後の方が重要な情報を持つことになるという前提)
↓参照
①セッションID固定化攻撃は
不正なURL(ブラウザ側で発行したセッションIDも使用可能にする機能を悪用)からログインすることで、なりすましになる。
②セッションハイジャックは
セッションIDを盗みだしたり(ネットワーク盗聴などで)、推測でセッションIDをとられること。
PHPではページ移動間などで定期的なセッションID再発行をこころかけましょう。
※個人の勉強のメモのための記事でございます。