クッキーには参照可能な範囲を制限する機能が定義されています。

• パス
• プロトコル
• スクリプトからのアクセス

の3種類の制限方法があります。制限するのではなく、反対に参照可能な範囲をドメインパラメータで増やすことも可能です。当然ですが参照可能なドメインを増やすのは好ましくありません。セッションIDを共用するアプリケーションが増えれば増えるほど、スクリプトインジェクションなどでセッションIDが漏洩するリスクが増加します。

同じドメインで複数のアプリケーションを利用している場合、パスでセッションIDを保存したクッキー送信を制限することができます。例えば、www.example.comドメインの/myapp/以下にアプリケーションがインストールされている場合、session_set_cookie_params関数を用いて以下のURLからのみクッキーを参照可能に設定できます。

http://www.example.com/myapp/

session_set_cookie_params関数

void session_set_cookie_params ( int $lifetime [, string $path [, string $domain [, bool $secure [, bool $httponly ]]]] )

session_set_cookie_params(0, '/myapp/');
session_start();

SSLが有効な場合のみにクッキーが参照できるオプションもあります。

session_set_cookie_params(0, '/myapp/', 'www.example.com', true);
session_start()

ログインしたセッションIDを保存するクッキーをHTTPSプロトコルでのみ利用されるのであれば、このオプションを有効にすると盗聴によるセッションハイジャックからも保護されます。特にセキュリティが重要なサービスを提供しているサイトの場合、ログイン状態を管理するセッションIDはHTTPSプロトコルでのみ送信可能に設定すべきです。

インターネット標準機能ではないですが、JavaScriptからクッキーにアクセスできなくするオプションも設定可能です。Internet ExplorerとFirefoxにはこの機能が実装されています。

session_set_cookie_params(0, '/myapp/', 'www.example.com', true, true);
session_start()

重要な情報にアクセス可能な範囲を可能な限り限定することはセキュリティ対策の基本です。しかし、多くのサイトで実践されているか？というと、大手サイトでも不十分なサイトが少なくありません。

既に解説済みで繰り返しになりますが、セッションIDが利用できる範囲を制限するためにも、セッションIDには必ずセッションクッキーを利用しなければなりません。PHPにはURLやフォームにセッションIDを埋め込むTransSID機能があります。しかしこの機能を利用すると、メールやブックマークにセッションIDが記録されセッションIDが漏えいする危険性が高くなります。このため、セッション管理にはクッキーを利用します。

とはいえ、有効期限が設定されたクッキーはローカルPC上ではファイルなどに保存されます。ユーザが共有PCを利用したりするとセッションIDがファイルに保存され、漏えいするリスクが高くなります。有効期限が0のクッキーはセッションクッキーと呼ばれブラウザのメモリのみに保存されます。例えアプリケーションがログアウトをサポートしていないようなアプリケーションであっても、セッションクッキーはメモリ上に保存されているのでブラウザが終了すると削除されます。

セッションクッキーを利用するとクッキー情報がファイルに保存されないので、ファイル共有やリモートログインを利用してクッキーファイルからセッションIDを盗まれるリスクをなくすことも可能です。

対策のまとめ

• クッキーを参照可能なドメインは増やさない
• パス属性を設定できる場合は必ず設定する
• SSLセッションで使うセッションIDはhttpsプロトコルでのみ利用可能にする
• スクリプトからクッキーにアクセスしなくてもよい場合はhttponly属性を使用する
• セッションIDには必ずセッションクッキーを利用する