Kenji Okobira
okobi****@thecl*****
2007年 12月 11日 (火) 11:54:59 JST
お世話になっています。大河平です。
> どうでしょう? 当方なら
>
>> if ( (ENABLE_SSL == true ) && ($connection == 'SSL') && ($add_session_id
>> == true) ) {
>> $sid = tep_session_name() . '=' . tep_session_id();
>> } else
>
> を取っ払う(HTTPとHTTPSを同列に扱う)と思いますが…。
>
> ちなみにrc1では
>
>> if ( ($add_session_id == true) && ($session_started == true) &&
>> (SESSION_FORCE_COOKIE_USE == 'False') ) {
>> if (tep_not_null($SID)) {
>> $_sid = $SID;
>> } elseif ( ( ($request_type == 'NONSSL') && ($connection == 'SSL')
>> && (ENABLE_SSL == true) ) || ( ($request_type == 'SSL') && ($connection
>> == 'NONSSL') ) ) {
>> if (HTTP_COOKIE_DOMAIN != HTTPS_COOKIE_DOMAIN) {
>> $_sid = tep_session_name() . '=' . tep_session_id();
>> }
>> }
>> }
>
> ↑こうなってます。こっちから必要部分を移植するのもアリかな。
上記移植しても確かに消えました。
こっちのほうが処理もしっかり書かれているようなので、こちらを使いたいと思います。
>> ちなみになのですが、このパラメータがないことによる考えられる弊害とかありますか?
>
> cookie喰わないクライアントではSIDを付けとかないとセッション繋がりません
> が、そういったクライアントは無視ですか?
今回、セッションハイジャックされるよりはそちらのほうがマシでると判断して今回の回収を行っています。
個人情報が流れるよりも見れないよ!って文句を言われるほうがまだいいかと思いますので・・・