[レシピ284]より安全なphp.ini設定を知りたい

追加情報

2013/10/21

PHP5.5.4から、セッションの設定で「session.use_strict_mode」が使えるようになりました。デフォルトは0(無効)ですが、1に設定することで、初期化されていないセッションIDを受け付けなくなり、単純なセッション固定化攻撃を防止することができます。

ただし、攻撃者が初期化したセッションIDを使い、セッションIDを固定化する攻撃は依然として可能ですので、セッション固定化攻撃に対する対策[レシピ301]は変わりません。