CookieのSecure属性について
- このトピックには2件の返信、2人の参加者があり、最後に
により11年、 1ヶ月前に更新されました。
-
投稿
-
動作に関するご質問の場合は必ずご記入ください。
WordPress のバージョン:3.3.1
Welcart のバージョン:1.2.3.1301213
ご利用のテーマ:オリジナル
症状を確認したブラウザ:Chrome ver 25.0
サーバー(会社名、サービス名):さくらインターネット レンタルサーバ(スタンダード)
SSLの利用:共用SSL
WordPress のパーマリンク設定:デフォルト(p=123)
いつもお世話になっております。
Welcartのような便利なものを提供してくださり、ありがとうございます!
Welcartを使用したサイトを開設するにあたり、セキュリティに関して一つ質問させてください。
セキュリティについては素人なのですが、ネットを見ているとSSLを使用すると共にCookieのSecure属性というものを設定したほうがよいという情報を見つけましたので、テスト的にWelcartを配置しているサイトで、php.iniに「session.cookie_secure = 1」という設定を行いました。
すると、SSL状態でログインできるのですが、そこからホーム(SSLではない)に戻るとログイン状態が解除されてしまいました。
そこで質問なのですが、Welcartでは上記の「session.cookie_secure=1」という設定は行わないほうが良いのでしょうか?それとも私の設定の仕方が間違っているのでしょうか?
お手数をおかけしますが、よろしくお願いいたします。
ご回答ありがとうございます m(_ _)m
ご指摘を受けて改めて調べてみると、確かに「session.cookie_secure」は「
セキュアな接続を通じてのみCookieを送信できるかどうか」を指定するものとの事でした。。。
なので、この設定をしていると、SSL環境と非SSL環境で同じクッキーを使っている場合はセッションが継続できなくなってしまうのですね。。
ひとまず「session.cookie_secure=1」の記述を外して、Welcartが正しく動作するようになりました (^_^)
「セッションハイジャックを防ぐためにはCookieのSecure属性を設定する事が重要」とか勧められて安易にphp.iniを変更してしまいましたが、よく分かってない事には手を出さないのがよさそうですね。。 (^_^;
どうもありがとうございました!
- このトピックに返信するにはログインが必要です。
PAGE TOP