問題タブ [sessionid]

認証トークンの生成にUUIDを使用している人を見たことがあります。ただし、RFC 4122には、次のように記載されています。

UUIDを推測するのが難しいと思い込まないでください。たとえば、セキュリティ機能（単なる所有物がアクセスを許可する識別子）として使用しないでください。

たとえば、SessionId/AuthenticationTokenの生成にJavaや.NETでどのアルゴリズムが使用されているのか疑問に思いました。UUIDは、平均以上のセキュリティニーズを持つアプリケーションでこれらの目的に実際に不適切ですか？

これが私が達成しようとしていることです。それを達成するための最良の方法は何だろうと思っています。

私は標準的な電子商取引サイトを持っています。顧客がサイトを閲覧すると、カートの内容がセッション変数に保存されます。顧客がチェックアウトしない限り、カートはデータベースに保存されません。

現在、顧客が実際に注文する前に、コール センターに電話をかけることがあります。次に、彼は自分のカートについて質問します。反対側のエージェントがカートの内容を抽出できるようにしてほしいとのことです。

顧客側でセッション ID を暗号化し、顧客が電話でエージェントに伝えるためにカート ページに「カート ID」を提示することを考えていました。次に、セッション ID を復号化します。エージェントは、cart.php ページでカートのコンテンツに直接アクセスできるようになります。

私の質問は次のとおりです。

1. これは安全ですか？セッションの途中で顧客の個人情報を保存する場所はありません。カートの中身のみ。
2. ここで私の最善の暗号化方法は何でしょうか?
3. これを達成するためのより簡単な方法はありますか？

だから私は aspx ファイルに条件があります:

そして、これがページ読み込み時の私のコードです

エラーが発生します：

何がいけないんだろう…と考えていました。

私は Node.js サーバーを使用しており、Connect フレームワークで開発しています。セッションの固定を避けるために、一定の間隔で SID を再生成しようとしています。ドキュメントによると、まさにそれを行う必要があるreq.session.regenerateというメソッドがあります。

« セッションを再生成するには、メソッドを呼び出すだけです。完了すると、新しい SID とセッション インスタンスが req.session で初期化されます »

コード例:

上記のメソッドを呼び出した後、req.sessionID の値を確認しましたが、値が以前と同じであることがわかりました。

req.session.regenerate 内から sessionID を取得して端末に書き込もうとすると、新しい SID が取得されます。これはさらに困惑します ~ IE コールバックのスコープ内でのみ SID を生成する必要があるのはなぜですか? 値をグローバル変数に割り当てると、その値は未定義になります。

私が見落としているのは本当に明らかなことだと感じています。

どんな助けでも大歓迎です。

MVC 3 Web サイトに単純なセキュア エリアを実装する必要があります。Cookie を使用できず、URL でセッション ID を渡すことができません。ASP.NET に実装されているその他のオプションはありますか?

PS私はそれが他の環境で可能であることを知っています。

アーサー

ブラウザーから、CLI で websocket サーバーとして実行されている php スクリプトへの websocket 接続があります。

サーバー上にあるsession_idをクライアントに送信させます。どのユーザーがどのセッションを持っているかを知っています。

個々のユーザーの $_SESSION を読み取ることは完全に機能します。

私は（サーバー側で[私のCLIコード]）：

次に、CLI サーバー側で $_SESSION['values'] を操作すると、クライアント セッションに反映されず、セッションは操作されません。操作されたセッションがクライアントに送り返されるようにするにはどうすればよいですか?

ありがとう！

ファイルをアップロードするためにuploadifyを使用しています。ファイルを保存し、パスをデータベースに保存したいので、セッションでパスを保存し、ユーザーがフォームを送信した後に保存します。Internet Explorer では動作しますが、セッション ID が変更されたため、Firefox では動作しません。

この問題を解決するには？

この上から髪を伸ばしています。セッションを保存するための簡単なスクリプトを作成しようとしました。ユーザーがブラウザを閉じたときに、後で戻ってきても買い物かごはそのままです。一部のアイテムでバスケットに以前と同じアイテムが含まれていることに気付くまで、これはすべてうまくいっているように見えました。いくつかのチェックの後、これらの奇妙なページでセッション ID が異なることに気付きました! これが私のフレームワークの一番上にある私のコードです。

この問題に関するヘルプは大歓迎です。

** 編集 **

私はそれをもっと簡単にしようとしましたが、それでも同じ問題です

IE8で自分のサイトへのログインが一貫して機能しないという問題が発生しました。Firefox / Chrome / Safariでは正常に動作しますが、IE8では正常に動作しません。

最初のログインでは、すべてが正常です。ログアウトして再度ログインしようとすると、通常はしばらく失敗します。認証後にログインページにリダイレクトされることになります。

したがって、認証は成功し、trueを返しますが、IE8は、以下を返すことによって設定したセッションIDの新しい値を受け入れていないようです。

Set-Cookie SESSIONID = ........; パス=/

応答ヘッダー内。しかし、明らかにこれはクリアキャッシュで機能し、問題なく動作します。しかし、すでにそこにあるとリセットに失敗するため、認証して新しいページに移動しようとすると、これがブラウザから送信されている古いセッションIDであることがわかり、ログインページにリダイレクトされます。

これを本当に解決するものはここや他の場所では見つかりませんでした（キャッシュをクリアする以外に）。IE8 Cookieの問題へのほとんどの参照は、言語/フレームワーク固有であり、この問題に答えません。

これを機能させるためにset-cookieで行う必要がある特別なことはありますか？

アップデート：

Cookieを受け入れる前にプロンプ​​トを表示するようにIE8を設定しました。ログインが正常に機能すると、期待どおりにプロンプ​​トが表示されます。それが機能しないときは、cookieを除いてプロンプトも表示されません。

更新2：

cookieはajax呼び出しの後に設定されることが期待されていることを述べておかなければなりません：

$ .get（authenticate_url、....）

応答を要求するURLは、セッションIDを設定するヘッダーを返します。その後、コールバック関数で、ユーザーはメインページにリダイレクトされます（ログインが成功した場合）。

私はセッションで続く一種のお気に入りリストを実装しようとしています。現在、セッションはDBに保存されており、お気に入りはユーザーのsession_idとともに別のテーブルに保存されています。私の質問は次のとおりです。

これらのセッションID値はどの程度信頼できますか？これらのお気に入りには機密データはありませんが、他の人が他のセッションID値を渡して、他のユーザーのお気に入りを改ざんすることはできますか？（私は彼らができると推測していますが、彼らが別の既知のセッションIDを渡すことを除いて、どのように推測することができますか？）

セッションIDは常に存在しますか？私のライブラリでは、セッションIDを参照し続けています-すべてのユーザーがセッションIDを持っていると想定しても安全ですか？（PHP / CIは、合格しないものの1つを自動的に作成しますか？）

前もって感謝します！