session nameも変えてみる
とか

あとは、ハイジャックされても問題ない作りをしておく

私が個人的にそういった部分を設計、実装する場合
$_SESSIONには、ワンタイムパスワードのようなものを保存させておく。
と同時にそのパスワードはデータベースに保存させておく

たとえば、会員登録制のサイトを作った場合
ログインをしてもらって操作をするわけですよね
ログイン状態をSESSIONに持たせるってことは、一般的に行われていることですが、あぶなっかしいわけです
データベースのほうに、ログイン関連のテーブルを作っておきます

そのユーザーのログイン状態の情報はデータベースに保存
データベースにはワンタイムパスワードの有効期限を設定しておく
ワンタイムパスワードをSESSIONとデータベースに保存
クリックして別な画面へ遷移するたびにこのワンタイムパスワードが一致しているかどうかを精査する
一致している場合は処理続行でワンタイムパスワードを書き換えてやる
一致しているが有効期限の切れているものは、「○○分操作しないためログアウトしました」画面へ
一致してない場合はSESSIONを破棄して「エラーが発生しました」画面へ
という感じ

他にも、何かを入力してもらってその値を保持する という使い方もするかと思います
その場合も
一時保持するようなテーブルをデータベースに作っておいて、これも同様にワンタイムパスワードをデータベースとSESSIONに保存させて遷移するたびに精査して書き換えてやる
もちろん、有効期限を秒単位や分単位できめてあげても良い。



こうすれば、最悪の場合ハイジャックされてもその情報そのもの（ワンタイムパスワード）は意味の無い情報
しかも、そのパスワードは有効期限以内でなければ全くなんの役にも立たない
10分とか数時間とかなどのように有効時間を決めておけば、有効期限内にハイジャックされるという可能性はきわめて低いと思われます。
しかも、ユーザーが利用中の場合は、遷移するたびにパスワードは刻一刻と変化してゆきますので、ユーザー利用中にハイジャック成功したときにはすでに違うパスワードになっていたりする


別に上記以外の方法でも良いかと思います
要は、COOKIEにせよSESSIONにせよ、外部に漏洩してもなんら問題の無い情報のみを保存させておくことが重要です。


ちなみに、ワンタイムパスワードの生成ロジックも簡単なものにするとパターンを読まれたり、へたすると全く同じものが生成されてしまいますので注意してくださいね。
RAND()関数だけでなんとかしようとすると絶対失敗します。

投稿日時 - 2008-05-30 12:00:34