P.62～68「HTTPとセッション管理」について

[OK]

徳丸様、いつもお世話になっております。
「CORS」を勉強しておりましたがcookieの内容が出てきましたので、cookieの基本動作を洗い出したいです。

「HTTPとセッション管理」の「クッキーによるセッション管理」部分を図解してみましたので、内容に齟齬がないかご確認頂けますでしょうか。
また、8.pngに質問を1つ記載しておりますので、何卒ご回答お願いできますでしょうか。

[徳丸浩]

徳丸です。こんにちは

まずお願いですが、現在PNG形式の画像で添付いただいているスライドをPDF形式にしてもらえないでしょうか? 現状は画像の枚数が多いので閲覧に手間がかかります。PDFだと読みやすくなります。PowerPointをお使いなのであれば、エクスポートからPDFを簡単に生成できます。

さて、ご質問への回答ですが、

【質問①】cookieを検索&発見したらセッション変数一覧の[ID]代入をZAPで確認できますでしょうか。

ちょっと質問の意図がわかりにくいのですが、セッション変数の中身をZAPで確認できるかという質問であれば、それはできません。セッション変数の中身はユーザー自身も閲覧・変更できないように保護されています。具体的には、Webサーバー内のファイルとして保存されています。

徳丸本環境のVirtualBox版であれば、このファイルは /var/lib/php/sessions というディレクトリに保存されています。ここにアクセスするには、root権限が必要です。

Docker 版の環境であれば、/tmp に保存されています。/tmp でもファイルの中身は簡単には見られませんが、ファイルの一覧は一般権限で参照できます。これはあまり良くない状態ですが、PHPのデフォルトの動作なので、このままにしています。

以下は、VirtualBox板の環境にSSH接続してセッション変数の中身を確認している様子です。

2024年11月11日(月) 10:21 OK <cs00...@gmail.com>:

--
このメールは Google グループのグループ「「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートML」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには wasbook-reade...@googlegroups.com にメールを送信してください。
このディスカッションを表示するには、https://groups.google.com/d/msgid/wasbook-readers/0b98a55e-128a-4a6b-a9d0-ae7434cbda28n%40googlegroups.com にアクセスしてください。

--

徳丸浩 htok...@gmail.com

[OK]

徳丸様、いつもお世話になっております。
ご確認、ご回答ありがとうございます。

ご提案ありがとうございます。

画像ファイルを多数送付について配慮が足りておらず大変失礼致しました。

お手間をおかけし申し訳ありません。

添付にてPDFファイルをお送り致します。

内容に齟齬等ございましたらご指摘頂ければ嬉しいです。

先ほどの【質問①】について、ご記載いただいた内容の質問でした。

ご回答ありがとうございます。

引き続きよろしくお願い致します。

2024年11月11日月曜日 13:07:00 UTC+9 徳丸浩: