ログインの仕組みとセッション

サイトへのログインを作るときにはセッションを利用するのが
一般的です。
認証できたらセッションにIDなんかを書き込んでおいて、
アクセスされる度にセッションの中に値が存在するかどうか
チェックしたりするわけです。

で、ログインは個人情報を通信するわけだから、
HTTPではなくてHTTPS通信でやりましょう、となる訳なんですが、
ログインしたと思ったら、ログインしていない判定をされてしまう…。

これはなぜなのか、という話です。

セッションの連続性

セッション管理は通常CookieにセッションIDを渡して、
サーバに問い合わせをするとき、一緒にCookieの情報も渡して、
そのセッションIDからセッションを特定し、値を取り出したり書いたりするわけですが、

どうも最近のブラウザはHTTPSで受け取ったCookieはHTTP通信に
なった時には渡さないようです。
つまりHTTPS内でセッションIDを更新してしまうと、HTTP通信に
戻ったときにセッションが切れたと判定されてしまう。
だからHTTPS内でセッションに値を書き込んで、セッションIDを
書き換えたりすると、ログインしていないことになってしまいます。

そもそもセッションのチェックをするときに、IDの他にURLを
みてセッションを切るか切らないかというオプションがあり、
それが有効な場合はURLが変わってしまうわけですから、
連続したセッションではないということになります。

どうしたらいいの？

ではどうするか。
そもそもセッションIDを書き換えるのはセッションハイジャック
のためです。
なので書き換えはできるだけしたいわけですが、
二種類のセッションIDを利用してやればセッションハイジャックのリスクを軽減することができるはずです。

• ユーザ認証フラグを格納するためのセッション
• ユーザ情報を格納するためのセッション

入力フォーム系では、どうしても情報のやりとりが必要になるので、
それらを格納しておくためのセッションを、ログイン情報とは別に
用意してやります。
そしてそれらの情報の処理は、セッションIDを変えながらHTTPS内で処理をしてしまって、処理が終わったら破棄する。
逆にユーザ認証フラグを格納するセッションのIDはHTTPとHTTPSで
IDを変えないようにしてやれば、ログインは維持したままで
情報のやりとりができるようになります。

さらにハイジャックされてしまったとしても、フラグ情報しか入っていないので危険度は低下します。

で、こういうことをしようとするとフレームワークだと弱いんだよなぁ…。
HTTPSでのログインを甘く見てる気がする。時期バージョンに期待。

[2959] http <--> https のセッション引継ぎ - PHPの基礎体力掲示板
http://www.sound-uz.jp/php/bbs/thread/2959?view=flat

少年よ大志を抱け: PHP: セッションにセキュリティ対策する
http://bba-ltom.blogspot.com/2008/07/php.html

"redirect後にセッションが消える" フォーラム - CakePHP Users in Japan
http://cakephp.jp/modules/newbb/viewtopic.php?topic_id=840&forum=3

[PHP-users 21645]Re: セッションの受け渡しについて
http://ml.php.gr.jp/pipermail/php-users/2004-May/022169.html

PHPとセッションについて、なんとなくでもいいので教えてほしいのですが、ログイン画面はhttps行い、ログインしたらhttpで行うことにした場合、毎回session_startを行って.. - 人力検索はてな
http://q.hatena.ne.jp/1225263870

PHP: 実行時設定 - Manual
http://www.php.net/manual/ja/session.configuration.php#ini.session.referer-check

"session_idをローカルのcookieファイルに保存するには？" フォーラム - CakePHP Users in Japan
http://cakephp.jp/modules/newbb/viewtopic.php?topic_id=555&forum=3&post_id=1020