Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PHPで学ぶ Session の基本と応用 / web-app-session-101

Ryo Tomidokoro
March 20, 2021
Programming
15
6.4k

PHPで学ぶ Session の基本と応用 / web-app-session-101

PHPerKaigi 2021 の登壇資料です。

Cookie を使った Session 管理について解説しています。

Ryo Tomidokoro

March 20, 2021
Tweet

More Decks by Ryo Tomidokoro

See All by Ryo Tomidokoro
PHPerのための計算量入門/Complexity101 for PHPer
hanhan1978
6
1.6k
集中して作業する技術/how_to_work_deeply
hanhan1978
61
45k
PHPでデータベースを作ってみた/create-data-with-php
hanhan1978
11
9.6k
ADRを一年運用してみた/adr_after_a_year
hanhan1978
8
3.7k
B+木入門:PHPで理解する データベースインデックスの仕組み/b-plus-tree-101
hanhan1978
5
4.8k
ADRを一年運用してみた/our_story_about_adr
hanhan1978
5
2k
PHPで学ぶ Session の基本と応用 / web-app-session-101-2024
hanhan1978
12
5.6k
レガシー回避のPHP開発術/avoid_php_legacy
hanhan1978
16
12k
Laravel Collectionの計算量を調べてみた2023/laravel_collection_time_complexity_2023
hanhan1978
1
1.5k

Other Decks in Programming

See All in Programming
QA環境で誰でも自由自在に現在時刻を操って検証できるようにした話
kalibora
1
140
Jaspr Dart Web Framework 박제창 @Devfest 2024
itsmedreamwalker
0
150
20241217 競争力強化とビジネス価値創出への挑戦:モノタロウのシステムモダナイズ、開発組織の進化と今後の展望
monotaro
PRO
0
280
Simple組み合わせ村から大都会Railsにやってきた俺は / Coming to Rails from the Simple
moznion
3
2.1k
見えないメモリを観測する: PHP 8.4 `pg_result_memory_size()` とSQL結果のメモリ管理
kentaroutakeda
0
930
Stackless и stackful? Корутины и асинхронность в Go
lamodatech
0
1.3k
令和7年版 あなたが使ってよいフロントエンド機能とは
mugi_uno
10
4.9k
Оптимизируем производительность блока Казначейство
lamodatech
0
940
KubeCon NA 2024の全DB関連セッションを紹介
nnaka2992
0
120
20年もののレガシープロダクトに 0からPHPStanを入れるまで / phpcon2024
hirobe1999
0
1k
毎日13時間もかかるバッチ処理をたった3日で60%短縮するためにやったこと
sho_ssk_
1
530
Итераторы в Go 1.23: зачем они нужны, как использовать, и насколько они быстрые?
lamodatech
0
1.3k

Featured

See All Featured
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
29
950
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Fashionably flexible responsive web design (full day workshop)
malarkey
406
66k
Adopting Sorbet at Scale
ufuk
74
9.2k
Thoughts on Productivity
jonyablonski
68
4.4k
Testing 201, or: Great Expectations
jmmastey
41
7.2k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
3
240
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
VelocityConf: Rendering Performance Case Studies
addyosmani
327
24k
Making the Leap to Tech Lead
cromwellryan
133
9k
Build your cross-platform service in a week with App Engine
jlugia
229
18k

Transcript

  1. @hanhan1978 PHPで学ぶ Sessionの基本と応用 PHPerKaigi 2021

  2. @hanhan1978 • 富所 亮 • 所属 ◦ 株式会社カオナビ • 職業

    ◦ Webアプリケーションエンジニア • ブログ ◦ https://blog.hanhans.net • Yokohama North AM ◦ https://anchor.fm/yokohama-north-am 2

  3. 今日、発表すること 3

  4. Session 4

  5. Webアプリケーション開発者が Session と呼んでいるものは何か? 5

  6. Session a period of time that is spent doing a

    particular activity 特定の活動に費やされた期間 https://www.oxfordlearnersdictionaries.com - Oxford Learner’s Dictionary 6

  7. Session → この単語だけだと曖昧 7

  8. Cookie を使った Session 管理 略して Session 8 本スライドでは以後、断りなく Session と表記した場合、

    「Cookie を使った Session 管理」を表します。

  9. 今日、覚えて帰って欲しいこと 9

  10. • 1章 「生い立ち」 • 2章 「技術的な仕組み」 • 3章 「最低限の周辺知識」 10

  11. 1章 「生い立ち」 11

  12. Cookieから始まった 12

  13. Cookie とは何か? どういう用途で作られた物なのか? 13

  14. World Wide Web 1990 Nov : Tim Berners Lee 1996

    May : RFC 1945 (HTTP/1.0) → ステートレスなプロトコル https://en.wikipedia.org/wiki/World_Wide_Web 14

  15. ステートレス? 15

  16. 「Webサーバーがアプリケーション 状態を保存しない」制約 Webを支える技術 (P80) - 技術評論社 16

  17. 状態(ステート)? 17

  18. • 何回アクセスがあった? • ログインしているか? • 前回アクセス時に何をカートに入れた 18

  19. Webの普及に伴って 状態を持ちたいという要求が高まる 19

  20. Cookie 1994 Oct : Mosaic Netscape (独自拡張) 1997 Feb :

    RFC 2109 2000 Oct : RFC 2965 2011 Apr : RFC 6265 https://en.wikipedia.org/wiki/HTTP_cookie 20

  21. https://tools.ietf.org/html/rfc6265 - HTTP State Management Mechanism Cookieとは ステートレスなHTTPで 状態(ステート)を持つための技術 21

  22. 22 平たく言うと

  23. HTTPで ログインやお買い物カート を実現する技術 💴 23

  24. 24 この章のおさらい HTTPはステートレス 状態を持たせたいという欲求から Cookieが登場した

  25. 2章 「技術的な仕組」 25

  26. まず、Cookieの仕組み 26

  27. HTTP Response Header HTTP Request Header にCookie情報を含めて送る 27

  28. Response Header にCookieを含める ※Webアプリケーション がセットした情報 28

  29. HTTP Request Header 29

  30. ブラウザとWebサーバーが 仕様に従って Cookie を送受信する と表現されると聞こえがよいが... 30

  31. ステートレスなHTTPに 無理やりステートを入れ込んでいる 31

  32. Cookieのデータ容量 32

  33. 一度の Req/Res で 4KBまでの データしか扱えない → Headerに載せるという前提を考えれば当然の制約 33

  34. 機微情報はHeaderで送受信したくない。 → SSL/TLSが贅沢だった時代は特に。 34

  35. Webアプリは、状態として大量の情報をも たせてくる 例)ユーザ情報、Validation エラー、入力値、履歴...💰 35

  36. そこで Cookieには鍵となるIDだけを保持 → Webサーバー側でデータを保存する 36

  37. 37 鍵となるID

  38. 38 初回アクセス

  39. 39 二回目以降

  40. Cookie を使ったSession管理は分かった → プログラミング言語はどのようにサポートしているのか? 40

  41. PHP において Session は拡張として入っ ている 41

  42. デフォルトで有効 --disable-session で 無効にすることも可 42

  43. (余談) どんなときに Session 拡張を無効にする? A) どうまかり間違っても Session 使ってほしくない時とか?? 43

  44. Session 拡張無効だと、Laravel動かない 44

  45. Session 拡張のマニュアル https://www.php.net/manual/en/ref.session.php 45

  46. a.php name という要素を追加 b.php name要素を出力 このような無邪気なソースコー ドで、簡単に利用することが可 能 46

  47. $_SESSION (スーパーグローバル) https://www.php.net/manual/en/reserved.variables.session.php 47

  48. $_SESSION 直接使うのは、相当訓練されたPHPer もしくは... 48

  49. デフォルトのSession Store ファイル /tmp/sess_[session_id] 等 余談)短時間に大量に出力すると、ほんの少しパフォーマンが落ちます 49

  50. デフォルトの Session ID 名 PHPSESSID session.name (php.ini) session_name 関数 を使って変更可能

    50

  51. Set-Cookie で SESSION ID がセットされる 51

  52. PHP の WAF が使う Session 実装 52

  53. Symfony Http Foundation Component Drupal, Joomla, Laravel… 多数 53

  54. PHP の $_SESSION, setcookie を 安全に使うためのラッパー 54

  55. Super Global を直接いじらないで!とい う願いが込められている(多分) 55

  56. 56 この章のおさらい Session ID をキーにして状態を保存 PHPではデフォルトで利用可能 ※ただし、安全のためにもWAFの利用が推奨される

  57. 3章 「最低限の周辺知識」 57

  58. Session 管理のセキュリティ 58

  59. 仕組の前提として Cookie が使われている 59

  60. Cookie の正しい理解が不可欠 60

  61. 61 GoogleがセットするCookieの例

  62. Cookieの属性 Max-Age Expires Domain Path Secure HttpOnly SameSite 属性はCase Insensitive

    大文字小文字関係なし SameSiteは策定中の最新仕様だが、 すでにブラウザ側は実装済 62

  63. 特に大事な属性 63

  64. Secure SSL/TLS通信でのみCookieを送信する 盗聴対策 64

  65. HttpOnly JavaScriptからはアクセス不可 XSSで Cookie を盗ませない 65

  66. WAFを使っていれば、この手のリスクは 考慮されている オレオレFWの場合や、生PHPの場合は注意が必要 66

  67. Session 管理を狙った攻撃 67

  68. SESSION ID さえ盗めれば 誰かになりすますことも可能 68

  69. Session 固定化攻撃 Session ハイジャック https://www.sbcr.jp/product/4797393163/ - 安全なWebアプリケーションの作り方 第2版 69

  70. 設計されていない 不用意なSESSION利用によるバグ 70

  71. 例)保持された状態によって、本来のページ遷移がおかしくなる 71

  72. バグの修正例 そもそも状態を持たせたことが原因なので仕様自体を見直し てSessionを使わない形にしていくと良いかも 72

  73. Session がセキュリティのために 使われている例 73

  74. CSRF Token 74

  75. https://medium.com/@sachindilan/secure-software-development-synchronizer-token-pattern-9afe0cc92ba Synchronizer Token Pattern 75

  76. Session 管理が アーキテクチャに与える影響 76

  77. Session Store が File の場合 77

  78. シングル構成なら問題ない 78

  79. LoadBalancer を使うと Session Store が分散 79

  80. 対策1 共有の Session Store 80

  81. 共有 Session Store 81

  82. 対策2 Sticky Session 82

  83. LBが空気を読んで、ユーザ毎の到達エンドポイントを固定 LBの機能なので、根本的な原因は解決されてない 83

  84. 対策3 Cookie を Session Store にする 84

  85. 非推奨(すぐに4K越えます) あなたが思うより、すぐに越えます 85

  86. 86 この章のおさらい Cookieの仕様を理解 Session 管理を狙った攻撃を把握 Session ストアを設計時に考慮

  87. まとめ 87

  88. 1. Session という単語を正しく覚える 「Cookie を使った Session 管理」 88

  89. 2. Cookie の仕様を理解する → RFC6265 を読んでみよう https://tools.ietf.org/html/rfc6265 89

  90. 3. Session管理の仕組を理解する 90

  91. 4. Session 管理への攻撃を知る → 徳丸本読みましょう https://www.sbcr.jp/product/4797393163/ - 安全なWebアプリケーションの作り方 第2版 91

  92. 5. アーキテクチャーを意識する → Session 管理のスケーラビリティ 92

  93. @hanhan1978 相談・指摘・その他  下記のTwitterアカウントにどうぞ 93