au php4.3 session part.3
先日の不具合への対応として
a. session管理の仕様を根本的に開発し直してもらう
a-1. cookieに関してmax ageも見る
a-2. 同時に指摘されたsession fixation問題への対策として、動的pageの場合のみsession_idを含んだrequestがある度にsession_idを破棄/再発行する仕組みとした
# これがまたphp4.3のsession_regenerate_id()が実は古いsessionを破棄してくれないという話もあり、開発会社が苦労してた
b. かなりの数の実機による試験実施
野郎4人が数日間レンタル会社に籠って試験してた
という対策で手打ちとして再リリースすることにした。