secureCookieKeyについて
2007年6月15日
Nucleus 3.3 では、クッキー認証キーを暗号化してデータ保存するための機能を新たに追加してあります。また、クッキー認証キーは、IP-Address と関連付けて認証を行うようにしてあるため、別のIP-Addressからアクセスする場合には同じ認証キーが使えないようになっています。(→参考記事)
config.php で $CONF['secureCookieKey']の値を設定すれば、この機能を調整することが出来ます(phpMyAdmin で nucleus_config テーブルに値を追加することで調整することも可能です)。
この新しい機能はセキュリティー強化のためのもので、セッションハイジャックを防ぐための手段です。Nucleus 3.3 をインストールした状態(あるいは、以前のバージョンから 3.3 にアップグレードした状態)で不具合がなければ、絶対に$CONF['secureCookieKey']の値を設定したりしないでください。また、この値を変更することでセキュリティー強度がどのように変化するかの深い知識がない場合も、絶対に設定変更しないでください。
よく分からなくても設定してよい例は、
config.php で $CONF['secureCookieKey']の値を設定すれば、この機能を調整することが出来ます(phpMyAdmin で nucleus_config テーブルに値を追加することで調整することも可能です)。
この新しい機能はセキュリティー強化のためのもので、セッションハイジャックを防ぐための手段です。Nucleus 3.3 をインストールした状態(あるいは、以前のバージョンから 3.3 にアップグレードした状態)で不具合がなければ、絶対に$CONF['secureCookieKey']の値を設定したりしないでください。また、この値を変更することでセキュリティー強度がどのように変化するかの深い知識がない場合も、絶対に設定変更しないでください。
よく分からなくても設定してよい例は、
$CONF['secureCookieKey']=32;だけです。この場合、デフォルト状態よりもセキュリティーが少し強化されます。反面、環境によっては、頻繁に勝手にログアウトしてしまうなどの不具合が出る可能性もあります。その場合は、上記設定を削除してください。