問題タブ [session-cookies]

Web アプリのログアウト機能をトラブルシューティングしようとしています。ログインすると、アプリのドメインにいくつかの Cookie が設定されます。現在のログアウト手順は次のとおりです。

• リンクをクリックすると、ログアウト ページが表示されます
• ログアウト ページはsession_destroy()、ドメインのすべての Cookie を呼び出してループし、過去に期限切れになるように設定する関数を実行します (以下のコードを参照)。
• ログアウト ページは、そのままの HTML であるログイン ページにリダイレクトされます。

このプロセスの最後に、他のすべての Cookie は設定解除されますが、PHPSESSIDCookie はまだ存在し、同じ値を持ち、セッションの終了時に期限切れになるように設定されたままです。

ここで何が欠けていますか？

上記のログアウト機能は次のとおりです。

正常に実行されている既存のサイトを新しい開発サーバーにコピーしました。

新しいサーバーへのログインが壊れており、セッション Cookie の名前が変更されているという事実まで追跡しました...

...ブラウザはセッションCookieをPHPSESSIDとして保存し続けます。

新しいサーバーのアプリケーションから上記の行を削除すると、ログインが再び機能します。しかし、別のアプリケーションもこの名前で PHPSESSID を使用しているため、これは良い解決策ではありません。

そして、回避策を使用するのではなく、奇妙な動作の理由を見つけたいと思います. ここを直さないと、どこかで噛まれる可能性があります。

たぶん、これは誰かが私にヒントを与えるのに十分な情報です. そうでない場合、どのような情報が役立ちますか?

このマシンは非常にネイキッドで基本的な ubuntu 8.04 サーバーで、apache2、mysql、php5 を aptitude と共にインストールしました。ロケールとタイムゾーンも更新しました。

解決：

上記の行を、受け入れられた回答からのこのコードに置き換えました...

...そして、ログインが新しいサーバーで機能するようになりました。

2 つのドメイン (test1.com と test2.com など) があり、これら 2 つのドメインにまたがるユーザー ログインが必要です。

両方のドメインが同じサーバー上で実行されます。私はいくつかの助けを願っています。:)

このセキュリティ問題について: http://techcrunch.com/2010/10/24/firesheep-in-wolves-clothing-app-lets-you-hack-into-twitter-facebook-accounts-easily/

「ユーザーがサイトにログインし、SSL/TLS/HTTPS 接続にリダイレクトされないときはいつでも、セッション Cookie は脆弱である」というのは本当ですか?

Facebook の資格情報を保護するための最適なソリューションは何ですか?また、その仕組みは?

SSL/TLSを使用せずに安全なセッションを行う方法はありますか? つまり、あるマシンの Cookie を別のマシンで再生できないようにする方法はありますか?

最後の質問が重要な理由は、Google AdSense が SSL/TLS をサポートしていないため、デザイナーはすべての Cookie を公開する必要があるためです。これは、AdSense に依存するすべてのサイトに影響します。

私の同僚は私にいくつかのクッキーの振る舞いを見てみるように頼みました。彼は、Cookieを作成してテキストフィールドの値を挿入する単純なWebアプリを作成し、次のページでCookieコレクションをチェックして、Cookieが挿入され、正しく読み戻されたことを確認しました。

本当にシンプルです。

ただし、2ページ目で、彼は複数のCookieがあり、他のCookieはローカルでデバッグしていた別のWebアプリに関連していることに気づきました。

ブラウザがURLを認識し、そこから送信されたと認識したすべてのCookieを送信したため、これが発生したことを彼に伝えましたが、これは正しいですか？ローカルデバッグサーバーのポートが変更された場合でも、それは実行されますか？

1つのメインドメイン：main.com、サブドメイン：test1.main.com、test2.main.comおよび他のドメインone.com、two.com。

これで、次のようになりました。

login.php

各ページに追加：

logout.php

ただし、ドメインmain.comとそのサブドメインでtest1.main.comのみ機能しますtest2.main.com。

どういうわけかセッションと他のドメインを保存する必要がありますone.com、two.com。

安全な認証を行うための最善の方法、解決策がある場合、私は本当に混乱しています、例を挙げて教えてください。

以下の状況について：

www.foo.com は UTF-8 で配信されるページです。www.bar.com/Servlet へのログインフォームが特徴です。www.bar.com は、ISO-8859-1 対応のアプリケーションです。

次の問題があります。

誰かがパスワードにドイツ語のウムラウトなどの特殊文字を使用している場合、パスワードが UTF-8 で投稿されているためログインに失敗しますが、アプリケーションはそれが ISO-8859-1 であることを想定しています。

もちろんaccept-charset="ISO-8859-1"、html フォームに属性を追加することもできますが、これは (もちろん) IE では機能しません。

UTF8 を ISO-8859-1 に変換し、そのデータを www.bar.com/Servlet に投稿するプロキシ スクリプトを考えました。変換は機能し、投稿も機能します (CURL によって行われます)。しかし、返された www.bar.com/Servlet の html を直接エコーしている (アドレス バーにはまだ www.foo.com がある) ため、html 内の相対リンクは機能しません。醜い置換を使用してベースタグを出力に追加することができましたが、機能しているように見えますが、非常にエレガントなソリューションではありません。

UTF-8 データを ISO-8859-1 アプリケーションに投稿するより簡単な方法はありますか?

私のCURLコードは次のようになります：

サーバー上のいくつかのイベント ソースを照会する jquery カレンダー ウィジェットがあり、これらのソースはすべて同じ JSON 形式の応答を返します。

本当に厄介なのは、ユーザー Cookie の有効期限が切れると、これらのソースがすべてユーザーをログイン ページにリダイレクトし、HTML コンテンツを返すことです。

フィドラーでリクエストを確認したところ、2 つのリクエストが行われていることがわかります。1 つ目は、http ステータス 302 でイベントを更新する jquery カレンダー オブジェクトからのリクエストで、http ステータス 200 でログイン ページへのリクエストの直後です。

私のサイトは ajax 呼び出しに深く基づいており、カレンダーのこの 1 つは、私が直面している問題を説明するための単なる例です。すべての ajax 呼び出しでエラーを処理してリダイレクトすることを避けたいと思います。最適な方法は、セッション Cookie の有効期限が切れたときにユーザーを自動的に切断する方法を見つけることです。セッションの有効期限が切れたことを示すダイアログを自動的に作成する Web メール システムで、これが実装されているのを見たことがあります。

この方向について何か助けはありますか？

期限切れのセッションと無効化されたセッションの違いは何ですか?

また、Javaでセッションを期限切れにする方法は?

私を助けてください。前もって感謝します。

圧縮データを Cookie に保存する最良の方法は何ですか? 私がこれをしたい理由は次のとおりです。

1. 1つのCookieにできるだけ多くのデータを保存したい
2. データ転送のパフォーマンスをできるだけ速くしたい
3. 簡単な改ざんを防ぐために、保存しているものを正確に明らかにしたくありません
4. 多くの値があります。うまくいけば、これを行うための最良のメカニズムにより、簡単に取得できます