Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら RSSフィードのご登録はこちらから

PHP

2020年8月10日
アカウントロック機能の実装例(PHP編)

はじめに インターネットに Web アプリケーションを公開すると、ログイン認証を突破しようと、あらゆるところから攻撃を受けてしまいます。ユーザーIDやメールアドレスと、パスワードの組み合わせを総当りで試すブルートフォース攻撃という攻撃がありますが、何の対策も取らないとログイン認証が突破されてしまいます。このブルートフォース攻撃に対する対策が、ログイン認証にアカウントロック機能を追...
>>続きを読む

2013年3月9日
PHP のセッション ID をより安全にする簡単な方法

PHP のデフォルトのセッション ID は、暗号論的擬似乱数生成器で作成されている訳ではないので、完全に推測不可能という訳ではありません。ですが、php.ini に以下の設定をすることで暗号論的擬似乱数生成器でセッション ID を生成するようになります(Linuxの場合)。設定後、Apache の再起動が必要です。 session.entropy_file = /dev/urand...
>>続きを読む

2013年3月2日
PHP でレスポンスヘッダーの Content-Type に文字コードを指定する方法

PHP は、デフォルトでレスポンスヘッダーの Content-Type に文字コードに UTF-8 が出力されます(PHP5.3.3で動作確認)。ですが、文字コードは明示的に指定した方がよいでしょう。Content-Type に文字コードを出力するには、php.ini で設定して全体に設定を反映させる方法と、各ページで設定する方法があります。全体に反映させるには、php.ini に...
>>続きを読む

2013年3月1日
PHP のセッション ID に HttpOnly 属性と secure 属性を付与する

PHP のセッション ID は、デフォルトでは HttpOnly 属性と secure 属性の両方とも付与されていません。これを /etc/php.ini で以下のように指定することで、HttpOnly 属性と secure 属性を付与することができます。項目は php.ini に既に記述されているので設定を書き換えてください。 session.cookie_secure = On...
>>続きを読む