ここから本文です

PHP分かる方お願いしま~す><

okahowさん

2011/10/3005:30:44

PHP分かる方お願いしま~す><

セッションに関して質問します。
ドメインキングの共用SSLサーバーを使用しています。
SSL内から非SSLにセッションが送れなくて悩んでいます。

http://d.hatena.ne.jp/seto-san/20091104/1257328931

前にも質問させて頂いたのですが、
上記のサイトを紹介してくれる方が何人かいらっしゃいましたが、
内容を見ても良く分かりません。

私がやりたい事は、
ログイン(SSL内で処理)したら「~さん、こんにちわ」と全ページ(SSL+非SSL)に表示させたいです。
クッキーは全く違うドメインでも送れるのですか?
また、共用サーバーを使用しているが為に送れないのでしょうか?
共用サーバーの場合、ドメインの前にサーバー名が入ります。
ポートも全く違うポートを使用しています。
ちゃんとした証明書でやれば、セッションは使えますか?
PHPは初心者なので、是非ともお願いします。
ちなみに変な中傷はいりません。
中傷するならテストコードを書いてからしてください。

閲覧数:
913
回答数:
2
お礼:
50枚

違反報告

ベストアンサーに選ばれた回答

htokumarさん

2011/10/3012:02:37

クッキーはドメインが違うと送れません。このため、ベンダー提供ドメインによる共用SSLと、独自ドメインのページでは、Cookieは共有できません。
全てを独自ドメインで運用して、そのドメイン用の証明書を購入してSSLを運用すれば、この問題は回避できます。その場合、一般的なレンタルサーバーでは運用できません。独自IPを使えるレンタルサーバーやVPSであれば大丈夫です。

ところで、ベンダーが提供する「共用SSL」には成りすましの危険性がありますので、SSLを使わない状態より、かえって危険になります。共用SSLをやめ、全て独自ドメインの平文の運用にした方が安全だと思います。
この問題については、Webセキュリティの第一人者である高木浩光氏がブログ記事で解説されています。 http://takagi-hiromitsu.jp/diary/20100501.html#p01 共用SSLの中はドメインが同じなので、他のアプリケーションとCookieが共有されるというこです。ディレクトリを分けても、JavaScriptとiframeを使うことで制限を回避する方法があります。

つまり、こういうことです。共用SSLを使うと、独自ドメインのページとはCookieを共有できないが、同じ共用SSLを使う別のアプリケーションとはCookieが共有できてしまいます。これはCookieの仕様上避けられないことです。
このため、以下を推奨します。

・まず、共用SSLはすぐに使用を止める
・もしSSLを使いたければ独自ドメインに対応した正規証明書を購入して運用する
・ドメインキングは、独自ドメインによるSSLは使えなさそうなので、サイト移転が必要になるかも(要確認)

証明書の中には比較的安いもの(Rapid SSLなど)もありますし、無料のもの(http://www.startssl.com/ )もあります。無料のStartcomは英語が分からないと発行できませんが、トライする価値はあると思います。
しかし、むしろ、サイトの引っ越しの方が大変そうですね。私自身も、自社のサイトをSSL対応にする際に、レンタルサーバーからVPSに引っ越しました。

ベストアンサー以外の回答

1〜1件/1件中

2011/10/3011:14:14

echo "テスト";

初心者で出来ないなら判るまで調べればいい。
調べるのも嫌なら諦める。

みんなで作る知恵袋 悩みや疑問、なんでも気軽にきいちゃおう!

Q&Aをキーワードで検索:

Yahoo! JAPANは、回答に記載された内容の信ぴょう性、正確性を保証しておりません。
お客様自身の責任と判断で、ご利用ください。
本文はここまでです このページの先頭へ

「追加する」ボタンを押してください。

閉じる

※知恵コレクションに追加された質問や知恵ノートは選択されたID/ニックネームのMy知恵袋で確認できます。