php.ini
# ヘッダーにPHPのバージョンを表示しない
expose_php = Off
# 画面にエラーを表示しない
display_errors = Off
# エラーをログファイルに出力
log_errors = Off
# 出力先ファイルの指定
error_log = [ファイル名]
httpd.conf
# ヘッダーにapacheのバージョンを表示しない
ServerSignature Off
# デフォルトのエラーページが表示される
ErrorDocument 403 /error/error_403.html
# TRACEメソッドを無効化
TraceEnable Off
# ------
# HTTPSのみでアクセスさせたい場合にApacheで強制的にリダイレクト
Redirect /(対象ディレクトリ)/ https://(リダイレクトURL)
HTML
# クレジットカード番号やログインIDを自動保存をしないようにする
(1) formもしくはinputタグにパラメータを追加する。
autocomplete="off"
(2) META文にキャッシュさせない宣言を追加する
<meta http-equiv="Pragma" content="no-cache" />
Cookie
SSL/TLS でクッキーを使うときはsecure 属性を付けるのを基本とする
方法 A: すべてのページを https://...にしてセッション管理用のクッキーに secure 属性をつける
セッション管理の必要な画面の全てを https://... とし、クッキーに secure 属性を付ければ、この問題は解決します。
方法 B: 2つのクッキーを使い分ける
2つのクッキーを発行し、一方を「secure 属性なし」にし、一方を「secure 属性付き」にします。
http://... の画面ではセッション管理に前者のクッキーを使用し、https://... の画面では後者のクッキーを使うようにします。
参考)
http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html
参考)
IPA:セキュアプログラミング講座
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
最終更新:2009年10月27日 13:01
