http/SessionFixationについて、ここに記述してください。 とくまるひろしのSession Fixation攻撃入門 http://d.hatena.ne.jp/ockeghem/20090130/p1 ---- 'Cookie Monster bug' と呼ばれている cross cookie injection technique が使えるような状況も説明されている。 PHPの認証に問題があるような気がしているが、それは区別されていないらしい。 よく調べてみなければ。 -- ToshinoriMaeno <> ---- サイト側の対策(セッションIDの再発行)もあるが、利用者側の対策としてはログインする前にはCookieをクリアすること。 自動ログインなどを使っているとかなり危ないかも。-- ToshinoriMaeno <> http://kaede.to/~canada/doc/session-fixation-attack-against-strict-systems ---- サイト側で新規のセッションID(自分が発行したものでもないもの)を受け付けるなんて論外だと思う。 安全なwebアプリケーションの作り方といいながら、攻撃手法の説明が多くて、 安全に作る方法が「すっきり」書いてない。 著者も分かっていないのか、一般的には書けないのか。 本筋の対策だけにできないものか。 -- ToshinoriMaeno <>