いてつくブログ - livedoor Blog（ブログ）

2011年09月13日00:41

《ネット関係》ソーシャルネットワーキングのシステムを作ろう！

タグ：: #Webプログラミング; #SNS+CMS+ブログ; #分散SNS

1 ：nobodyさん：04/06/28 18:13 ID:grYt/Veq: と思うんだけど、プログラミングの経験全く無しだから
何からやったらいいのかわからない。
言語はPerl?PHP?作るのにどれくらい時間とお金がかかるんだろ。
greeは個人でやってるらしいけど、どうなんだろ。

誰か「作る」という方向に向かった助言キボン。
91 ：nobodyさん：2005/07/04(月) 18:28:48 ID:kxwFEAj6: こんなサイトを運営しています。
http://www.friendsjapan.com/
SNSの要素を組み込みたいんですが、どなたか一緒にやってくださろうって方が
いらっしゃったら連絡ください。

86,87さんらが言っているとおり、知り合い系はパソコン通信と似ていると思います。
しかもニーズは大いにあると思いますよ。
参入が早いとか遅いとかよりも使い方を間違えないことがポイントだと思います。
113 ：nobodyさん：2005/08/28(日) 18:40:04 ID:???: mixiのようなサイトの場合、PostgreSQLとMySQLと、どっちが向いてるでしょうか？
会員数は5万ぐらいまでとして。
10万人ぐらいの出会い系はMySQLで作ったことがありますが、それほど複雑な処理は
ないですし、カラム数も少ないので、SNSだとかなり違うのではないかと思いまして。
117 ：nobodyさん：2005/08/30(火) 07:21:29 ID:???: >>113
mixi程度なら設計の自由度の無いmysqlでも大丈夫じゃない？
なので俺ならパフォーマンス優先でmysqlを選ぶ
119 ：nobodyさん：2005/08/31(水) 06:31:49 ID:4i1HUIMB: ところで、ここの人たち何人で作ってますか?

現在SNS制作中なんだが、人手が足りないな。
もう一人ぐらい欲しい。。。

>>117
Firebirdなんてどうですか?
121 ：nobodyさん：2005/08/31(水) 12:25:28 ID:X0ZVUAFe: 金出すんなら手伝うよ>>119
122 ：nobodyさん：2005/08/31(水) 13:23:15 ID:???: >>121
119の書き込みを読んで、119が開発者を雇用
するつもりじゃない事くらい読み取れないと、
いつまでたっても就職できませんよ＾＾；
138 ：nobodyさん：2005/09/04(日) 18:19:51 ID:lK34YbSA: ちとスレ違いかもしれんが…
簡単なSNSをJavaでこしらえていて持っている機能にユーザの日記、ユーザー同士のBBS、コミュニティなどがあるんだけど
それぞれの機能は主役と役割が違うだけで（コミュニケーションの方向性が違う）、基本的な機能は同じ。
モデリングしたらイロイロと抽象クラスができあがってきたんだが、こいつをとりまとめたフレームワークのネーミングに迷っている。
書き込むとかレスするという動作と、タイトル、発言内容という感じのデータモデルで構成されている。
BBSじゃないし、日記でもないし。基本的なコミュニケーションという意味合いでUserCommunicationか？と思ったけど
メッセージのやりとりもコミュニケーションだし、言い出したらキリなさそうな感じ。
何かヒントになるフレーズでもあれば良いんだが……
161 ：nobodyさん：2005/09/26(月) 01:14:59 ID:???: MySQLですか。百数十万人もの会員がいても捌けるとは。
コミュニティとかも全部そうなんでしょうね。
どんなテーブル構造なのか見てみたい。
162 ：nobodyさん：2005/09/26(月) 02:39:50 ID:???: >>161
どんなに数が多くなろうとも、一つのテーブルに数万件ずつ（せいぜい10万件とか）しか
データを入れないようにすれば問題ないじゃん。
たとえばID番号が1??10万まではテーブル１、10万??20万まではテーブル２に入れる…みたいな。
180 ：nobodyさん：2005/10/01(土) 06:32:01 ID:???: mixiってユーザ100万でしょ。活発なユーザが、多めに見積もって20万人。
それぞれが１日平均50ページビューだとして、20万×50＝1000万。
その他ライトユーザたちが平均すると　80万×5＝400万。
合計1400万ページビューくらい？
181 ：nobodyさん：2005/10/01(土) 12:29:32 ID:???: 「数」千万とか数個とかの「数」は2,3??5,6あたりを指すんだし
一千万台じゃないだろ。

一千万台で数千万って言ってたら誇大広告だ。

って

ttp://www.emercury.co.jp/press/050803.html

に5000万PVって書いてるやん
182 ：nobodyさん：2005/10/01(土) 14:25:48 ID:???: >>181
お前、どこ行っても嫌われるだろ？ｗｗ
>>180はあくまでも推測だろうが。

いるんだよなー、イチイチこうやって揚げ足取ったり、「詐欺だ」とか
「誇大広告だ」とか騒いだりするヤツ。空気が読めないのかな。
183 ：nobodyさん：2005/10/01(土) 14:35:50 ID:???: >>182
お前馬鹿だろｗ
243 ：nobodyさん：2006/04/10(月) 02:12:15 ID:wBmaDxYB: http://www.vip-antenna.com/
今日はここまでつくった！
263 ：nobodyさん：2006/05/23(火) 20:48:37 ID:???: おもむろに対象SNSへリンクを貼る
264 ：243：2006/05/24(水) 01:17:37 ID:???: >>263
リンクじゃなくって、
ユーザーリストを共有して、検索なんかで人探しできたりだとか云々
278 ：nobodyさん：2006/08/10(木) 23:59:23 ID:yxfW3eTS: SNS作ろうとして、openpneをダウソロードしてみた。
かなり複雑にできてるから作るのやめようかなとも思ってる。
どっかに解説サイトとかないか？
300 ：nobodyさん：2006/10/11(水) 18:55:41 ID:???: 普通のPCで50万接続可能にするには幾らぐらい掛かるのだろう？
353 ：ぬこえもん(=´・ω・) ◆S715eQBvs6 ：2006/10/30(月) 14:11:01 ID:???: 日記の記事なんかもＤＢにぶち込んでるんでしょうかね？
ぶち込むとき、テーブルの「長さ」(TEXT)って最大255のような気がしたんですが、入りきるものなんでしょうか？
363 ：nobodyさん：2006/11/04(土) 02:57:19 ID:???: 画像はドキュメントルート外に保存

認証を通過していれば（Cookie/Sessionで判別）
適切なレスポンスヘッダと共に画像を出力するプログラムを書け
371 ：nobodyさん：2006/11/08(水) 20:30:14 ID:???: ん、リファラか？　ログイン中のユーザにリファラ改竄されたらアウトな対策のように思えるがどうよその辺。
俺はこっちが良いと思うんだが。
order allow,deny
deny from all
allow from 127.0.0.1
372 ：nobodyさん：2006/11/08(水) 21:36:06 ID:???: >>371
Cookie使ったSessionにページ変移を記録してるんじゃないの？
まさか、Cookie使えない環境をバッサリ切り捨てたのに、容易に改竄できるリファラ見てたり、Cookieに直接保存してたり・・しないよね？>>ぬこ

実際に動作チェックしてCookieの中身見れば一発だけど、わざわざ登録するのマンドクセーしなぁ・・

>俺はこっちが良いと思うんだが。
それはもう設定してるでしょ
376 ：nobodyさん：2006/11/09(木) 03:15:19 ID:???: たしかに自主的にクッキーやＪＳ切ってるようなのは
たいていは邪なことをするキモヲタ、と相場が決まってる。

だからそういうヤツらはむしろバッサリ切り捨てるべし。
378 ：ぬこえもん(=´・ω・) ◆S715eQBvs6 ：2006/11/09(木) 06:31:05 ID:???: SetEnvIf REFERER '??????'
order allow,deny
deny from all
allow from 127.0.0.1

こんな感じにしてました
確かにリファラ改竄して入ってこられると通り抜けちゃいますね
リファラとCookiesの2重チェック入れようかと思ってます

まさに>>376さんの言うとおりだと思うし。
ほんとに閉鎖されたSNSなもので
379 ：nobodyさん：2006/11/09(木) 09:11:34 ID:???: もう閉鎖しちゃったのか・・・
380 ：nobodyさん：2006/11/09(木) 11:58:32 ID:???: >>378
セキュリティ関係のソフトとかIEの設定で簡単に切れるからねぇ
例えばノートンはデフォでリファラ送らないようになってるし、よく分からずに切ってるのも多いかと

まぁ、>>372-375辺りで話してたけど
ぬこが「そんな連中はお断りだ」って方針なら別に止めはせんが

ところで、画像見るときCookieの中身には何入れてるの？アドレスをそのまま？

>>376
「邪なこと」の意味がよく分からん

>>379
閉鎖的なって意味では
420 ：nobodyさん：2006/11/16(木) 19:45:56 ID:???: 直接課金はまだ早いかな、と感じるなら当面広告だけでいいんじゃないかな。実際
直接課金って運用が大変だし、作った直後はきついかもってのは現実的な判断と思う。
自信が出来てから有料オプションとかで後付すれば良いかと。

あと、技術的な穴が怖いってことなら下記のような対策があるぞ。既にやってたらすまんが。
・きっちりバリデートをかけて突っ込まれる値を必ず想定内に納めさせる
・想定ケースを漏れなく作ってテストをする
・ユーザーからのバグ報告をやりやすくしておく
430 ：nobodyさん：2006/11/17(金) 21:20:02 ID:j8cT97kH: http://www.vip-antenna.com/sns/
だよな？一応このサイト見てレビューしてみたんだ。
正直ちょっと良いものとは言えないな。
後424のトリップが違うみたいだけど成りすまし？
431 ：nobodyさん：2006/11/17(金) 22:14:12 ID:???: >>420
＞・きっちりバリデートをかけて突っ込まれる値を必ず想定内に納めさせる
＞・想定ケースを漏れなく作ってテストをする

バカだなお前。それが出来てれば苦労しないよ。
っていうかそれが完全には出来ないから、穴が発生するんじゃないか。

一番大事な対策は、「規約をしっかり作る」だよ。
もちろん運営者側が余計な責任を負わずに済むような、しっかりした規約なｗ
432 ：nobodyさん：2006/11/17(金) 23:29:55 ID:???: >>430
ありゃ？　俺が知ってるのとアドレスが違うなあ。どっちが本物だ？

>>431
なんか煽りっぽい文面だが、それが危機対策の最後の砦になるのは認める（笑）
つけ加えるなら、権利の保全も出来ると嬉しいな。著作権も自分の物に出来るとか。
うまくすれば電車男のときのひろゆきみたいに印税で儲けられるかもしれん（笑）
434 ：nobodyさん：2006/11/19(日) 07:31:48 ID:???: >>432
技術者発想だと、
「どうやったら完全にセキュリティリスクを無くせるか」って考えるんだろうけど、

経営者発想だと、
「リスクはゼロにはならないから、万が一発生したときの安全網を構築しとく」ってのが大事なんだよね。

人間の活動に完全なんてありえないんだから、コストとのバランスで考えるしかない。
安い値段と完璧な品質を求めることって、原理的には矛盾した要求なんだから、全部呑むのは無理。
だから一番大事なのは、実はシステムではなくてルールですよ。
436 ：nobodyさん：2006/11/19(日) 20:22:51 ID:???: しかしその「完璧」を求めるバカがけっこうな数いる。それが問題。
特に個人情報保護法などというスットコドッコイな法律が出来てからバカ急増。
440 ：ぬこえもん(=´・ω・) ◆hb//x7qyug ：2006/11/20(月) 01:48:36 ID:zKYDLJ0t: ｗｗｗ
みごとにやられてるｗ
441 ：nobodyさん：2006/11/20(月) 06:55:25 ID:???: >>440
なんだなんだ？　SQLインジェクションでもかまされたか？？
そういうときのために、ガッチリ規約を作っておかないと。
「悪さしたヤツはどこまでも追いかけて、１億円賠償請求します」ってｗｗ
442 ：ぬこえもん(=´・ω・) ◆hb//x7qyug ：2006/11/20(月) 06:58:17 ID:zKYDLJ0t: >>441
>>430の旧式のほう見事にやられてましたｗ

新しいほうは直接ＤＢから出し入れせず、
一度クッションかませたりしてみてるんですが
いろんなパターン考えるの大変ですね。

>>434-436のことも一理ありますけど、やっぱりそれなりには作らなきゃまずいんだろうし。
446 ：nobodyさん：2006/11/20(月) 11:56:05 ID:???: >>436
受容も立派なリスク対策の一つなんだが、理解しない奴は理解しないからねえ。
最善を尽くしてもやられるときはやられるのがシステム、って認識が早く広まって
ほしいわな。
447 ：nobodyさん：2006/11/20(月) 12:01:59 ID:???: >>446
ん？　「受容」って、何を？？

＞最善を尽くしてもやられるときはやられるのがシステム
そう、しょせん機械だから誤動作したり壊れたりなんだりして当たり前なのに、
なぜかみんなコンピュータにだけは完璧を求める傾向がある。
「コンピュータは常に間違わないはずだ」という、ある意味で正しいがある意味で間違っている思い込みがあるせいだな。
ま、ド素人は後者の間違った解釈のみでそう思い込んでるんだろうけど。
しょせんは機械でありただの箱でしかない、ということを啓蒙する必要がある。
450 ：nobodyさん：2006/11/20(月) 12:15:24 ID:???: >>447
悪い、あんまり使わない用語だった。受容ってのはリスク対策の用語で、あるリスクに対し、
対策を取るほうが無理があるので、存在するとはわかっているがあえて対策を取らない
とする対処法の事。
482 ：ぬこえもん(=´・ω・) ◆hb//x7qyug ：2006/11/26(日) 15:53:25 ID:???: 7日間無料とかあるみたいなのでXREA借りてみました
設置したとしても、SNSっていうかレポートやらの
共有サイトとして作ったものであんまり面白くないと思いますよ。

問題点指摘していただいたり、
こんな機能あればいいんじゃないかって事ありましたら
おそらく皆さんよりは時間があると思いますので頑張りますが。

設置できたらお知らせしますね
486 ：nobodyさん：2006/11/27(月) 01:32:56 ID:???: >>482
楽しみにしてる。
できたらデザインをイイ感じにしてほしい。
487 ：nobodyさん：2006/11/27(月) 12:25:49 ID:???: >>486
他人に期待しないで自分でやれドアホ。
488 ：nobodyさん：2006/11/27(月) 23:31:43 ID:???: >>487
お前はどんなものを作ったんだ？
491 ：nobodyさん：2006/11/28(火) 14:06:07 ID:???: >>488
俺は自分で某SNSシステムを制作して某社に売却。
他人になんか期待しない。のろいし。
492 ：nobodyさん：2006/11/28(火) 14:41:10 ID:???: >>491
へぇ、某SNSを作って某社に売却した製作者様ですか。
某SNSをねぇ。凄いじゃないですか某SNSを作るなんて

ぼくには真似できないなぁ
517 ：nobodyさん：2006/12/11(月) 22:16:20 ID:???: 海外のだと動画や音楽配信できるとこもあるから
使えそうなものを手当たり次第パクってみてはどう？
520 ：nobodyさん：2006/12/12(火) 02:58:14 ID:???: 亀レスだが、>>492のマヌケな基地害厨ぶりにコーヒー吹いたｗｗｗ

「某SNS」という言葉にこだわってるのはなぜだ？
きっと何か勘違いしてるんだろうなｗ
522 ：nobodyさん：2006/12/12(火) 04:24:04 ID:???: >>520
ちょｗｗそれ俺ｗｗｗ基地害認定ヒドスｗｗｗ

まぁ、妄想乙で片付けるのはつまらなかったからホメ殺ししたら面白いかな？と思ってね。
「某○○作った」とか言ってる人を静かにするには「凄いじゃないですか。ところで某○○って何？」みたいに少し遊んであげるのが効果的だったりするし。

ちなみにその後で無理矢理斜め読みしてるのも俺だし、結構頻繁にスレに来てぬこたんを生暖かく見守っております。
523 ：nobodyさん：2006/12/12(火) 14:20:21 ID:???: >>522
まあ、お前みたいなニートらしい考え方だな。
「某●●」ってのはね、おおっぴらに言えないんですよ、大人の世界では。

お前みたいな社会に出たことのないクズには理解できないだろうけどさ。
大人にはいろいろな商売上の約束があるんだよ。
562 ：nobodyさん：2006/12/17(日) 09:04:18 ID:???: 某●●は「キモヲタ」がお気に入りにようだ
リアルじゃ使わない用語を得意げに使って恥ずかしくないのかね
あ、ニートだから恥ずかしくないのかｗ
564 ：nobodyさん：2006/12/17(日) 16:51:38 ID:???: >>562
お前、ホントに恥ずかしいヤツだな・・・・ｗｗｗｗｗ
女の子の知り合いがいないから、自分の常識だけで物事を測ってんだなｗｗ
「キモヲタはリアルでは使わない」だってさ、プププププププ

たしかにお前らキモヲタ同士の仲間内ではリアルで使ってないだろうねｗｗｗｗｗ

http://hibari.2ch.net/test/read.cgi/php/1088414014/l50人気ブログランキングへ

タグ：: Webプログラミング; SNS+CMS+ブログ; 分散SNS

mixiチェック

↑上に戻る

2011年09月12日23:17

《ネット関係》【PHP】セッションについて語ろう！【PHP】

タグ：: #Webプログラミング; #セキュリティ上の注意

1 ：nobodyさん：03/09/24 19:31 ID:SnRvXmpI: ブラウザを閉じたらセッションの効果がなくなるのって、
ブラウザを閉じることでクッキーを消しているからなのですね。。
知らなかったよーーーーうわーーーん
22 ：nobodyさん：03/09/27 07:48 ID:efY9iLPN: 「ブラウザの戻るボタンで戻ってリロード→2重処理」
の回避策にsession使ってるけど邪道？
81 ：nobodyさん：04/03/19 15:09 ID:???: 鯖を数日動かしてると、
セッションが不安定にならない？
漏れの鯖は三日くらいでセッションがプチプチ切れるようになる。
apacheを再起動すると治るけど、
コレってPHPの設定がおかしいからかな？
82 ：nobodyさん：04/03/19 17:48 ID:???: >>81
PHP のバージョンと OS は何？
Linux で PHP 4.2.x を使っていた頃に同じ状態で苦労したことがあるけど。

Apache の error.log に Segmentation Fault とかのログが残ってる？
83 ：nobodyさん：04/03/19 22:04 ID:???: >>82
child pid ***** exit signal Segmentation Fault

ログにはこんなもんがいくつか残ってました
OSはRedhatLinuxでapache1.3.27、PHP4.3.2です
なんか分かりますか？
84 ：82：04/03/20 00:30 ID:???: >>83
php.ini のセッションの設定で、

session.save_handler

に files 以外を指定している場合は安定しないかもしれない。

でも、PHP 4.3.2 だと、

bug #24592 (NULL related crash in session extension)
bug #22154 (Possible crash when memory_limit is reached and output buffering in addition to session.use_trans_sid is used)

の可能性の方が高そう。PHP 4.3.3 で修正されているみたいなので
バージョンアップしたらセッション周りは安定するかもしれない。
今なら、PHP 4.3.4 かな。もうすぐ PHP 4.3.5 が出そうだけど。

まあ、クリティカルなシステムをバージョンアップするなら、
十分にテストしてからにした方がいいと思う。
85 ：nobodyさん：04/03/20 10:00 ID:???: >>84
どうもです
ああ、やっぱバージョンのせいなんですかね
セッション機能にはmmを利用しているんですが、
どうせ処理速度には大差がないだろうし、filesを検討します
そのうちPHP5が出てきそうですが、
焦って飛びつくのは危険そうですね
86 ：84：04/03/20 10:55 ID:???: >>85
PHP 4.2.x の頃に、パフォーマンス的に有利ということだったので、

session.save_handler = mm

にしていたことがあったけど、>>81 とほぼ同じ症状になった。
原因が分からず、随分悩んだ後、files に戻したところ、安定するようになった。

PHP 4.3.0 以降では確認していなかったけど、修正はされていないのかな。
96 ：nobodyさん：04/04/04 21:49 ID:zccZUASs: IE6でクッキー機能をOFFにしているのにセッションが使えてしまう。
PHPのSIDもOFFにしているのに・・・
なぜ？

・・・と書き込もうとしたら2chに書き込めないｗ
なぜ掲示板でクッキー必須なんだ？
173 ：nobodyさん：04/11/24 09:17:36 ID:???: 会員制のサイトつくるとき
セッションIDだけで管理してる？
セッションIDだけだと怖いので
ログインIDと暗号化したパスワードも
セキュアクッキーに書いて
毎回DBと比較してる。
これってやばい？
174 ：nobodyさん：04/11/24 14:09:50 ID:???: >>173
やばくはないと思うが
それじゃセッションIDを使う意味があまりなくね？
セッションIDの発行方法にもよるけど
PHPのセッション関数使ってるなら大丈夫じゃないの？
175 ：173：04/11/24 15:43:40 ID:???: >>174
レスありがとうございます

ログイン前の匿名情報（ショッピングカートのようなもの）を
セッションIDで管理、
ログイン後の情報はセッションだとちょっと怖いので
セキュアクッキーでアクセスの度に毎回ログインチェックをしてます。

セッションIDだけで
クライアントを特定するのって
会員制のようなサイトでも普通なんでしょうかね？
176 ：nobodyさん：04/11/25 03:52:30 ID:???: >>175
個人的な構築法としてはセッションIDとログイン情報を関連付けて
セッションIDきたらログイン情報みて毎回チェックするけど
規模がデカイ or サーバしょぼい　場合は毎回チェックするとレスポンス落ちるから
Yahooみたいに重要な処理のときだけログインチェックみたいな形にしてる

けど173のケースだとログイン前からの情報とも連携するみたいだし
それならセッションIDとcookie使ってても納得できる

毎回ログインチェックするのに越したことはないけど
やっぱりサーバのスペック的な問題でレスポンスが結構影響でてくるから
重要なページ（個人情報変更）とかだけ認証っていう形でもありじゃないかな？

良いセッションの使い方があれば他の人フォロー頼みます。
177 ：nobodyさん：04/11/26 20:15:19 ID:5ndPRR48: PHPセッションを生成した段階で、接続元IPを保持すれば、少なくとも
全く異なるネットワーク＆端末からの接続は排除できる。
(ＮＡＴ環境とか一部のＣＡＴＶ環境からのアクセスはどうしようもないけど)。

で、その上でブラウザバージョンとか「相手から送られてくる情報」を、
『セッション単位のワンタイム情報』として管理すればかなりいけるんでない？

まぁ、金銭扱う場合は「やりすぎ」ってのはないだろうけど、使う側の利便性を
考えればワンタイム情報として上記を扱う(＋独自のスパイス)でほぼ安全でしょう。
178 ：173：04/11/26 20:37:10 ID:???: >>176
やっぱりサーバ負荷は一番気になるとこですね。
たいへん参考になりました。
ありがとうございました。

>>177
大企業などアクセスのたびに
毎回IPアドレスが変わる環境もあるから
だめじゃないかな？
183 ：nobodyさん：04/11/28 09:37:50 ID:???: そっか、世間ではFTPとかtelnet/sshとか、そんな奴にもクッキーセッションみたいな
「IPが変わってもサービスを継続する」実装が結構あるんですね。
確かに作っちゃえば可能だなー＞セッション管理

ちょっと遊んでみよう(w
184 ：nobodyさん：04/11/28 17:21:57 ID:???: >>183
FTPとtelnet/SSHはステートレスなプロトコルではないので
セッション管理自体要らんと思う
186 ：nobodyさん：04/11/29 12:38:23 ID:???: >>184

>>178
> >>177
> 大企業などアクセスのたびに
> 毎回IPアドレスが変わる環境もあるから
> だめじゃないかな？

アクセスの度に変わるんだぜ?
Connection張りにきたからってACK返そうにも
すでにIPアドレスが変わっているんだぜ？

って、釣りか....>>178
279 ：nobodyさん：2005/06/23(木) 00:30:15 ID:???: マジでハマっているんで、誰か教えて。
セッション管理を MySQL + PHP で考えていています。

$_SESSION['hoge'] = $hoge;

とかやった直後は、ハンドラで定義した関数が呼び出されて、
指定したテーブルに $hoge の内容をシリアライズしたような
文字列が格納されているのですが、その後に別の画面へ refresh で
遷移させた後、$_SESSION['hoge'] の値を参照すると何も入っていません。

テーブルを確認すると、直前まで入っていた文字列がブランクになっています。

ちなみに、全ての画面の先頭で session_set_save_handler() と
session_start() を行っています。
これが悪いんでしょうか？
320 ：nobodyさん：2006/03/14(火) 02:05:53 ID:???: セッション生成場所にF5アタックされたら
めちゃくちゃセッション作ってくれるとおもうんだけど
貴殿らどういう対策してる？
321 ：nobodyさん：2006/03/14(火) 03:11:17 ID:???: >>320
セッション生成場所に限らずF5アタックは嫌なので
httpdより前にブロックしてる。
350 ：nobodyさん：2006/05/19(金) 19:18:14 ID:???: 結論としてはやめておいた方が良い。
再利用しているところが多いし、同じIPアドレスを使ってるPCだって結構ある。
367 ：nobodyさん：2006/05/23(火) 11:47:58 ID:8StU5eTg: 質問させてください

セッションIDでログイン状態を判断するっていうのは
最初ログインしたときに
サーバ側のDBなどでセッションIDとログインしたユーザを
紐づけて管理するってことですよね？

それとは別に、ログイン時に
ログインIDとパスワードをクッキーに書き込んで
認証が必要なページでは毎回クッキーで判定しようと思うのですが
どんなリスクがあるのでしょう？
もちろんパスワードはMD5などの不可逆な変換を行い
クッキーもSSLのページのみで受け渡しします。
368 ：nobodyさん：2006/05/23(火) 14:17:16 ID:???: クッキーがPCに残るから、それを第三者に取られたとき危うい。
セッションIDなら一度ログアウトしてしまえば大丈夫だけど、
それだとログアウトしてもクッキーさえ持っていれば再度ログインできる。
369 ：367：2006/05/23(火) 15:03:01 ID:???: >>368
すみません、クッキーと書きましたが
ブラウザを閉じたら消えるやつで
いわゆるセッションと同じようなもののことでした。

でもブラウザの実装によっては
一時的でもクライアントに保存されるため
リスクが高いということでしょうか。
388 ：nobodyさん：2006/05/24(水) 23:16:27 ID:vQsxJJUN: $_SESSIONに値を入れたときに
ちゃんとセションファイルに書きこまれないときがあります。

具体的には
画面AでA.php?hoge=aで
$_GET['hoge']から'a'を取得し
$_SESSION['hoge']="a"といれ、
画面Bに行く。
このとき$_SESSION['hoge']はaとなっている。
ブラウザの戻るでAにもどり
URLにA.php?hoge=bと入力しエンターキー。
（$_SESSION['hoge']="b"となっているはず。）
画面Bに行く。

するとこのとき、
$_SESSION['a']の中には
aが入っていて、こちらの期待する値（b)になりません。
画面Aに戻り
URLにA?hoge=bと入力しエンターキーを押して
F5を押すと
$_SESSION['a']には期待値（b)が入っています。

どうしてこのようになるのか分かりません。
どなたか教えていただけないでしょうか。

また期待値を得るためにはどうしたら良いでしょうか？
389 ：nobodyさん：2006/05/24(水) 23:54:13 ID:???: >>388
とりあえずAとBのソースを書いてみろ。
438 ：nobodyさん：2006/07/11(火) 09:18:37 ID:3lRF8+ba: 会員制サイトのログイン状態の保持にセッションを使ってるのですが
アイドル状態が続くとセッションが切れてしまうのを
回避する方法を考えています。

・サーバでのセッション保持期間を長くする
・セッションでなくクッキーなどによる管理に変更する

これ以外になにかいい方法があったら教えてください
443 ：nobodyさん：2006/07/12(水) 02:04:51 ID:???: >>438
＞アイドル状態が続くとセッションが切れてしまう

session.cookie_lifetimeが「0」なら、
ブラウザを閉じない限りセッションも切れないだろ。
しかもそれってデフォルト設定だし。
444 ：nobodyさん：2006/07/12(水) 10:11:09 ID:???: >>443
サーバ側は削除されるだろ？
459 ：nobodyさん：2006/07/14(金) 16:28:29 ID:???: 馬鹿だなあ。
１０万セッションのサイトでは、１０万セッション分のファイルハンドルが必要なんだよ。
十分メモり喰うし、長時間セッション使ってるとメモリリークも起きる。
491 ：nobodyさん：2006/07/26(水) 12:00:14 ID:???: >>444-450
これってどういうこと？
ブラウザが閉じられるまでgcが発生しないようになんて
できないよね？
そんな方法があるなら知りたい。

gc_maxlifetimeを1年ぐらいに設定するとかはなしでｗ
493 ：nobodyさん：2006/07/28(金) 07:54:27 ID:???: >>491-492
んなこたぁないだろう。
そしたら「ブラウザ閉じない限りはずっとログインし続けたまま」の
システムを作ることが不可能になるじゃんか。
494 ：nobodyさん：2006/07/28(金) 08:04:14 ID:???: つーか、session.gc_maxlifetimeって、
一体どのタイミングからカウントされた秒数なの？

最初のアクセスか、それとも最後のアクセスか・・・
495 ：nobodyさん：2006/07/28(金) 08:42:49 ID:???: >>493
不可能だし

>>494
まず試せ
497 ：nobodyさん：2006/07/28(金) 14:19:59 ID:???: >>495
不可能じゃないよ。
だってmixiとか、ブラウザ閉じなければ何日でもずっと
ログイン状態が継続してるし。
498 ：nobodyさん：2006/07/28(金) 16:48:36 ID:???: >>497
それ、セッションじゃなくて、クッキーにユーザー名とか保存してるだけじゃ無いの？
セッション何日も維持するなんて、セキュリティ上あり得んよ。

クッキーに何を保存してるか、見てみれば？
499 ：nobodyさん：2006/07/28(金) 18:55:06 ID:???: mixiはブラウザ閉じても次アクセスすればログイン状態では？
ちなみにクッキーは3個。すべてセッションオンリーはNO、有効期限は5年。

クッキーにユーザー名とか保存はしてない。直接の値が書き込まれているのは表示設定のみ。
ていうかそっちの方がセキュリティ上問題あるだろう
500 ：nobodyさん：2006/07/28(金) 20:37:40 ID:???: >>498
mixiのクッキーにはユーザー名（メアド）は書いてないよ。

>>499
＞セッションオンリーはNO
↑これどういう意味？？

＞mixiはブラウザ閉じても次アクセスすればログイン状態では？
「次回から自動ログインする」にチェックを入れてログインしたなら、ね。
501 ：nobodyさん：2006/07/28(金) 21:47:39 ID:???: >>500
＞セッションオンリー
ブラウザを終了したらクッキーを破棄するかどうか（これがオンだと有効期限は設定されない）

「次回から自動ログインする」にチェックしたらセッションオンリー=オフで有効期限5年のクッキー
チェックしなかったらセッションオンリー=オンのクッキー
という使い分けみたいですね。
523 ：nobodyさん：2006/07/31(月) 04:58:39 ID:???: CookieをSecureにすると負荷で死ぬから、うちでは自前でセッションハイジャック対策やってるんだが、
そうなると確かにsessionは使えないな。常にSSL使える環境なら標準のでいいんじゃね？
525 ：523：2006/07/31(月) 23:55:35 ID:???: 対策としてログイン時のホストとUserAgentをセッションと結びつけてる。
これをsessionでやろうとすると結果的にハッシュが二重に保存される上に処理にロスが出る。
555 ：nobodyさん：2006/08/04(金) 03:24:34 ID:???: 別に去る者追わずの個人サイトならそれでいいんじゃね。
ユーザの事考えなくても良い素人ならね。
646 ：nobodyさん：2006/11/04(土) 01:54:01 ID:toBPKG6d: セッションの有効期限なのですが

session_cache_expire(1440);　//12時間
session_start();

セッションが必要なページ全てに書いているのですが
途中で切れています 12時間持ったことが今までないのですが、
なにか注意点はありますか？
647 ：nobodyさん：2006/11/04(土) 04:42:40 ID:???: その関数はHTTPのキャッシュコントロールで
セッションの有効期限とは関係ないと思うけど
652 ：nobodyさん：2006/11/07(火) 10:39:00 ID:???: >>646
セッションの有効期限は
session.gc_maxlifetime
session.cookie_lifetime
前者はサーバ側でのセッション保持期間、
後者はクライアント側でのセッションID保持期間。

>>647
キャッシュが有効だとサーバ側で予測できない遷移が起こってしまう。
セッション中ではその予測できない遷移によって、セッション変数に不整合が生じるなど、
悪影響がでる可能性が増大する。
そのため、セッション中におけるキャッシュの制御を、
通常のキャッシュ制御とは別にセッション関連の設計者・プログラマにゆだねる必要がある。
session_cache_expireはそのための関数であって、セッションの有効期限とは無関係。
702 ：nobodyさん：2006/12/20(水) 23:22:08 ID:???: そもそもプロならphpなんて使ってないだろ。
やっつけ仕事向けのVB感覚が売りなのに、しっかり業務としてインターネットに公開している企業は痛い。
金無いのかよと(w

あと、/dev/urandumは本当に乱数かどうか検証したのか？
疑似乱数って実装は、ありがちだぞ。リナックスは変に妥協してたりするし。

で、クッキー無しでセッションを安全に使う方法ってあるの？
クッキーなんて偽造できるし、セッションIDぐらい総当たりで突破できるし。
741 ：nobodyさん：2007/02/14(水) 01:24:48 ID:???: session.gc_maxlifetimeってデフォルトが24分(1440秒)なのは、実装した人の勘違い？
ちゃんと意味があるの？
というのは、session.cache_expireが180分(3時間)になってても、実際は24分で切れちゃうでしょ？
この辺を論理的に説明できる偉い人の登場を期待アゲ