acms_ssid は何のためのCookieでしょうか？

[高見裕也]

ablogcmsのサイトにアクセスすると、"acms_ssid"という名前のCookieが自動設定されますが、これは何のためのCookieですか？

私はAmazon EC2とELB, CloudFront上で利用しています。

ユーザーごとに変わるみたいなので、CookieをEC2のオリジンサーバーに転送してしまうと、CloudFrontがキャッシュする際の妨げになると考えられます。（CloudFrontは、Cookieの値に基づいて動的に生成したHTMLページをキャッシュします。）

管理者ユーザーのセッションの維持に使うCookieの名前は"sid"なので、ログインセッションのための物ではないようです。

"acms_ssid"でこのグループを検索すると、フォームの連続投稿の防止に使われているという情報は出てきますが、現在はサイト上で問い合わせフォームを利用していないです。

このCookieの用途はこれだけですか？

[伊藤淳]

お世話になっております。

"acms_ssid"でこのグループを検索すると、フォームの連続投稿の防止に使われているという情報は出てきますが、現在はサイト上で問い合わせフォームを利用していないです。

このCookieの用途はこれだけですか？

基本的にはおっしゃる通りフォームの連続投稿やCSRF対策として利用しています。あとは管理者での保存系のPOSTなどの処理でも利用しています。

ログアウトした状態でフォームを利用しないのであれば特にこのCookieを無視していただいて大丈夫です。

もしくは、CloudFrontの設定でWhitelistに acms_ssid を追加すれば、キャッシュにヒットするようになると思います。

以上になります。

よろしくお願いいたします。

[高見裕也]

早速の返信、ありがとうございます。

管理画面のログインや保存は利用出来なくなると困りますね。

`acms_ssid` をサイト上の全てのパスに対してホワイトリストした場合、値がアクセスした端末によって変わるので、

CloudFrontはアクセスした端末全てに対し、それぞれ異なるキャッシュを生成してしまうので、全てのパスに対して`acms_ssid`でホワイトリストするのは出来ないです。

効率的にキャッシュされるためには、管理画面が使うURLなど、必要なパスだけ選択的に`acms_ssid`をホワイトリストする必要があります。

Wordpressの場合、`wp-admin/*` や `*.php` に対してキャッシュを無効、Cookieを全て転送に設定することで、Wordpressの生成したHTMLはキャッシュしつつ、管理画面は利用する事が出来ました。

a-blogにも同じような、キャッシュを無効にすべきパスのリストはありますか？

[伊藤淳]

お世話になっております。

a-blogにも同じような、キャッシュを無効にすべきパスのリストはありますか？

/admin/ が含まれるURLは管理画面のURLになりますので、このURLの場合にホワイトリストに追加するとよさそうです。

ただ表側でのポップアップでのモジュール設定などは、特に管理画面としてのURLが存在しないので、この機能は難しそうです。

よろしくお願いいたします。