CookieのSecure属性について

フォーラム 使い方全般 CookieのSecure属性について

  • このトピックには2件の返信、2人の参加者があり、最後にmakoisにより11年、 9ヶ月前に更新されました。
3件の投稿を表示中 - 1 - 3件目 (全3件中)
  • 投稿者
    投稿
  • #52374
    makois
    参加者

    動作に関するご質問の場合は必ずご記入ください。


    WordPress のバージョン:3.3.1

    Welcart のバージョン:1.2.3.1301213

    ご利用のテーマ:オリジナル

    症状を確認したブラウザ:Chrome ver 25.0

    サーバー(会社名、サービス名):さくらインターネット レンタルサーバ(スタンダード)

    SSLの利用:共用SSL

    WordPress のパーマリンク設定:デフォルト(p=123)


    いつもお世話になっております。

    Welcartのような便利なものを提供してくださり、ありがとうございます!

    Welcartを使用したサイトを開設するにあたり、セキュリティに関して一つ質問させてください。

    セキュリティについては素人なのですが、ネットを見ているとSSLを使用すると共にCookieのSecure属性というものを設定したほうがよいという情報を見つけましたので、テスト的にWelcartを配置しているサイトで、php.iniに「session.cookie_secure = 1」という設定を行いました。

    すると、SSL状態でログインできるのですが、そこからホーム(SSLではない)に戻るとログイン状態が解除されてしまいました。

    そこで質問なのですが、Welcartでは上記の「session.cookie_secure=1」という設定は行わないほうが良いのでしょうか?それとも私の設定の仕方が間違っているのでしょうか?

    お手数をおかけしますが、よろしくお願いいたします。

    #66306
    nanbu
    キーマスター

    こんにちは。

    session.cookie_secureを強制的にオンにしてしまうと、非SSLでクッキーが使えなくなってしまうのではないでしょうか。

    #66307
    makois
    参加者

    ご回答ありがとうございます m(_ _)m

    ご指摘を受けて改めて調べてみると、確かに「session.cookie_secure」は「

    セキュアな接続を通じてのみCookieを送信できるかどうか」を指定するものとの事でした。。。

    なので、この設定をしていると、SSL環境と非SSL環境で同じクッキーを使っている場合はセッションが継続できなくなってしまうのですね。。

    ひとまず「session.cookie_secure=1」の記述を外して、Welcartが正しく動作するようになりました (^_^)

    「セッションハイジャックを防ぐためにはCookieのSecure属性を設定する事が重要」とか勧められて安易にphp.iniを変更してしまいましたが、よく分かってない事には手を出さないのがよさそうですね。。 (^_^;

    どうもありがとうございました!

3件の投稿を表示中 - 1 - 3件目 (全3件中)
  • このトピックに返信するにはログインが必要です。