- 締切済み
異なるドメインでのセッション管理
異なるドメインでのセッション共有のやり方を探しております。 具体的には HTTP と HTTPS のページがあり、 HTTP: http://yourdomain.com HTTPS: https://ssl.example.com と言った構成になります。 イメージしやすいのはEC等のASPです。 非SSLページは独自ドメインに対応させている所が多いが、 SSLページに関してはASP共通のSSLドメイン上で管理する事が多いと思います。 あれはいったいどの様にしているのでしょうか?
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- superside0
- ベストアンサー率64% (461/711)
> httpsのドメインだけとなるとhttpのページでは一切セッション情報にアクセス出来なくなるので、 > 例えばログイン情報とかも取れなくなってしまいますし、後々の運用を考えるとさけたい所です。。 それはWebナビゲーションの設計次第ではないでしょうか。 httpのページで個人情報を扱わないというのが、本来のSSLの使い方のような気がしますが・・・ なにか特段な都合がなく、SSL証明書の費用だけのことなら、ドメイン毎でなく 全ドメインに適応できるようにサーバー丸ごとでとってしまえばよいのではと。
- superside0
- ベストアンサー率64% (461/711)
補足です。 同一サーバーで、かつセッションデータのテンポラリディレクトリを 異なるドメインでも同じディレクトリを使っているなら、 セッションIDをGET/POSTすれば可能なのは可能だと思います。 (セキュリティーを無視すれば)
- superside0
- ベストアンサー率64% (461/711)
ドメイン間でセッションデータが共有できるのなら、 セッションハイジャックも簡単に可能ということになりますよね。 それに、SSLのページから非SSLのページに submitすると、ブラウザから警告でますし。 なので、たぶん商品一覧やポータルのhttpから、個人アカウントページ等のhttpsへはGET/POSTデータのみで、 セッションデータについてはhttpsのドメインだけで閉じてるのでは ないでしょうか?
お礼
httpsのドメインだけとなるとhttpのページでは一切セッション情報にアクセス出来なくなるので、 例えばログイン情報とかも取れなくなってしまいますし、後々の運用を考えるとさけたい所です。。 ちょっと方法がひらめいたのでテストしてみます。 # PCでは問題ないと思うけど携帯で出来るか不安・・・ 引き続き何かアドバイス頂けると幸いです。
お礼
補足ありがとうございます。 GET/POSTは私も考えたのですが、ご指摘されている通り、 出来る事ならさけたいですね・・・。 setcookie("key", "value", 0, "/", "ssl.example.com"); setcookie("key", "value", 0, "/", "yourdomain.com"); と指定して見ましたけど、やはりアクセスしたURLの方しか クッキーに入ってくれません。。。