【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷


第8回 これだけは知っておきたいセッション変数の基礎


杉山 俊春
株式会社ユービーセキュア
技術本部 VEXグループ リーダー
兼 セキュリティオーディットコンサルタント
2009/2/6
(Illustrated by はるぷ)
前回の「基礎のキソ、エブリバディ・セッション管理!」に続き、セッション管理の基本を解説します。宿題の解答編もありますので、クイズを解く感覚でぜひ皆さんも挑戦してみてください(編集部)

 誰もが最初は初心者でした

 勉強会を終えたクウたち3人は、喫茶店で話をしていた。

ナツ 「そうそう、そんなこともあったねー」
ジュン 「うんうん。なつかしい〜」
クウ 「そうなんですかー」
ナツ 「私もジュンも結構そのアキって子にほとんど教わってたんだよね」
ジュン 「そうだねー。あの子、何でも知ってたよね。いいかげんなふりしつつ、かなり勉強家だったよね」
ナツ 「セッション変数の話のときもかなり教えてもらったよねー」


数年前……


アキ 「んー、もう。だから違うってー」
ジュン 「えー。だって、サーバ側で管理してるんだから安全じゃん」
アキ 「じゃあ、もう1回最初から説明するよ?」
ナツ 「うん。お願いしますっ」
アキ 「セッション変数っていうのはね……」

 セッション管理を行っている場合、サーバ側でセッションIDに対して、何らかの状態を対応付けて管理することとなる。セッションID自体はランダムに発行された文字列でしかないため、その文字列が何を意味するのかを関連付ける必要が出てくる。セッション管理では、セッションにさまざまなパラメータを関連付けることができ、この関連付けを格納する領域を一般的に「セッション変数」と呼ぶ。

 例えば、セッション管理で認証状態を管理する場合、認証が成功した時点でセッションIDとログイン中のユーザーを関連付けるために、セッション変数にログインIDを格納する、というような形となる。
図1 セッション変数の利用

 セッション変数利用の概念は図1のようになるが、実際に格納される領域はセッション管理のメカニズムにより異なる。サーバ側に格納される形態としては、「ファイルに格納」「データベースに格納」「メモリ上に格納」などさまざまな方法がある(情報が漏えいしにくいよう揮発性のある格納形態が望ましいが、実装上困難となる場合も多い)。

 具体的に実際のセッション変数の例を示そう。以下は、PerlのCGI::Sessionを利用した場合の例である。CGI::Sessionでは、セッションIDとして発行された文字列を用いたファイルを生成し、その中に各セッション変数を格納している。

ファイル名:cgisess_5b095834e5134f862555f0adcd209c34

$D = {_SESSION_ID => '5b095834e5134f862555f0adcd209c34',_SESSION_ETIME => 300,_SESSION_ATIME => 1229242041,page => 'change_confirm',login_id => 'demo',_SESSION_EXPIRE_LIST => {},_SESSION_REMOTE_ADDR => '127.0.0.1',_SESSION_CTIME => 1229242034};

ジュン 「うん。サーバ側で管理されてるから安心だね♪」
アキ 「……まじめに聞かないと説明やめるよー?」
ナツ 「あー。ごめんごめん。続けてー!」
アキ 「まあ、サーバ側で管理しているのはそうなんだけど、そもそもセッション変数に入る値はどこから来ているかってことだよね」
ジュン 「どこから来てるんだろうねー。神秘だね!」
アキ 「まだいうか……。これが重要なのは、『もともとはユーザーの入力』だってことがほとんどってとこだね」
ナツ 「ふむ……」

1/4

Index
これだけは知っておきたいセッション変数の基礎
Page1
誰もが最初は初心者でした
  Page2
セッション変数、利用方法をお間違えなく

 

 Page3
セッション変数で気を付けるべき“セッションフィクセーション”
セッション変数、どこに格納する?
  Page4
並べて足して入れ替えて……

もいちどイチから! HTTP基礎訓練中 バックナンバー


もいちどイチから! HTTP基礎訓練中 連載インデックス

ホワイトペーパーTechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ