PHPセッションが失われる：サブドメインとhttps（非SSLへのSSL）

Question

私はここで、 "セッション、クロスドメインとssl"に関するすべての関連トピックを読んでみたと思うstackoverflow。残念ながら何も動作しません。

私の場合：

loginForm.html（非SSL） - > authUser.php（SSL） - > showAccount.php（非SSL）

問題があること、ですこれらのファイルは異なるサブドメインに置かれ、SSLまたは非SSLでサービスされます。

loginForm.html - >http://dev.domain.com
authUser.php - >https://ssl.domain.com
showAccount.php - >http://dev.domain.com

ユーザーの資格情報が正しい場合、authUser.phpが使用されているセッションを作成する必要がありますshowAccount.php。

既に言及したように、私はすべてのポストされた解決策を試しました。 参照のためにこれを見てみましょう：Session lost when switching from HTTP to HTTPS in PHP。
でこのスニペットを拡張しようとしましたが、PHP Sessions across sub domainsで説明しましたが、どちらも機能しません。
私はまたini_set('session.cookie_domain', '.domain.com');

を編集しようとした：要求された答えのように、ここでは（本来はここでヤコブにより投稿されました：Session lost when switching from HTTP to HTTPS in PHP）に使用されるコードがある

https://ssl.domain.com/user/authUser.php

<?php 

// auth with database was successful, so create the session 

session_set_cookie_params(0, '/', '.domain.com'); 
session_start(); 

$currentSessionID = session_id(); 
$_SESSION['testvariable'] = 'It worked'; 
$InsecureServerDomain = 'dev.domain.com'; 
$pagePath = '/showAccount.php'; 

echo '<a href="http://' . $InsecureServerDomain . $pagePath . '?session=' . $currentSessionID . '">Transfer Cookie from secure to insecure </a>'; 

?> 

をhttp://dev.domain.com/showAccount.php

<?php 

$currentSessionID = filter_input(GET, "session"); 
session_set_cookie_params(0, '/', '.domain.com'); 

session_id($currentSessionID); 

session_start(); 

if (!empty($_SESSION['testvariable'])) { 
     echo $_SESSION['testvariable']; 
} else { 
     echo 'It did not work.'; 
} 

?> 

$_SESSIONは常に空です。

ヒントはありますか？

Answer 1

いつもどんなコードを見るのが役に立ちます。おそらくセッションを保存するセクションと、Cookie /データベースを使用する方法について説明します。 cross-domain authorizationのやり方に関する素晴らしいチュートリアルです。

Answer 2

あなたのログイン/承認にはちょうどを固定することに意味はありません。ネットワークトラフィックを監視している攻撃者は、リクエストごとにサーバーに渡されたログインCookie /セッショントークンを盗み、そのユーザーとしてログインできます。確かに、パスワードは安全ですが、安全ではないWiFiネットワークなどの中間者攻撃によって、ユーザーのセッションが実際にハイジャックされることはありません。

この動作の例については、Firesheepを参照してください。