session.entropy_fileとは?
状態:-
閲覧数:2,032
投稿日:2016-04-14
更新日:2016-04-14
ベースに利用される乱数(IPアドレス, 現在時刻, 線形合同法による疑似乱数 を組み合わせたもの)に追加して、乱数発生源とするファイル
session.entropy_file でファイル指定すると?
・php はこのファイルから session.entropy_length バイト分読み込み、それもエントロピーソースとして利用
→ PHP のセッション ID をより安全にする
entropy_file から取得する乱数の長さを指定
・デフォルト 0(無効)
・php のセッションID と エントロピーソース
session.entropy_file でファイル指定すると?
・php はこのファイルから session.entropy_length バイト分読み込み、それもエントロピーソースとして利用
→ PHP のセッション ID をより安全にする
session.entropy_length
entropy_file から取得する乱数の長さを指定
・デフォルト 0(無効)
・php のセッションID と エントロピーソース
session.entropy_fileデフォルト設定値
バージョンにより異なる
PHP 5.4.0 以降
・/dev/urandom あるいは /dev/arandom (使用可能な場合)
PHP 5.4.0 未満
・空
・実行時設定
/dev/random
OS が提供するセキュアな疑似乱数生成器
・Unix系オペレーティングシステム (OS) における擬似デバイスの一種
・乱数生成器として機能する
具体例
「/dev/urandom」で生成した擬似乱数を、PHPのセッションIDを生成する際のキーとして512バイト分追加
・よりセキュリティ性の高い「推測不可能なセッションID」となる
・よりセキュリティ性の高い「推測不可能なセッションID」となる
ini_set('session.entropy_file', '/dev/urandom');ini_set('session.entropy_length' ,512);