セッション情報保存ディレクトリ
セッション管理がファイルベースの場合に保存するディレクトリを設定します。
セッション情報をファイルで保存するには、設定ファイルを直接修正する必要があります。configure.php の下部にある define('SQL_CACHE_METHOD', 'none'); を define('SQL_CACHE_METHOD', 'file'); に変更する事で有効になります。
クッキーに保存するドメイン名の設定
クッキーに保存するドメイン名について設定します。
・True = ドメインネーム全体をクッキーに保存(例:www.mydomain.com)
・False = ドメインネームの一部を保存(例:mydomain.com)。
通常この設定はTrueにしておいてください。
理由があって、Zencartがサブドメインを跨ぐ場合などは、False に設定する事で、サブドメインにかかわりなく共通のクッキーの利用が可能になります。
例) 通常のショップのドメインは www.bigmouse.jp SSL通信の場合は ssl.bigmouse.jp の様な利用が必要な場合
【注意】サブドメインに別のZenCartがある場合や、共有サーバでサブドメインを別のユーザーが利用している場合などにはFalseの設定は避けてください。
クッキー使用
セッションに必ずクッキーを利用します。True指定するとブラウザのクッキーがオフになっている場合はセッションを開始しません。セキュリティ上の理由から余程の理由のない限りはTrue指定のままとすることを強く推奨します。
ごく例外的に 「共有SSLを利用するためにセキュリティレベルが多少下がっても利用したい」場合には、
/includes/init_includes/overrides/init_sessions.php
のファイルを削除して頂ければ、クッキーなしでのセッションが有効になります。
SSLセッションIDチェック
全てのHTTPSリクエストでSSLセッションIDをチェックしますか?
User Agentチェック
全てのリクエスト時にUser Agentのチェックを行いますか?
同一セッションであったとしても、User Agentをチェックし、もし違えばセッション情報を破棄します。
セッションハイジャックの防止に有効です。
IPアドレスチェック全てのリクエスト時にIPアドレスをチェックしますか?
同一セッションであったとしても、IPアドレスをチェックし、もし違えばセッション情報を破棄します。
セッションハイジャックの防止に有効です。
ロボット(スパイダー)のセッションを防止
既知のロボット(スパイダー)がセッションを開始することを防止しますか?
対象となるロボット(スパイダー)のリストは、 includes/spiders.txt に記載されていますので、必要に応じて対象を追加してください。
セッション再発行
ユーザーがログオンまたはアカウントを作成した場合にセッションIDを再発行しますか?(PHP4.1以上が必要)
セッションハイジャックの防止に有効です。
IPアドレス変換の設定
IPアドレスをホストアドレスに変換しますか?注意:サーバによっては、この設定でメール送信のスタート・終了が遅くなることがあります。