5日目! #phpadvent2011 / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/gKi7ZGfx
2011-12-05 20:55:242009/5/15の日記(再) / “PHPのSession Adoptionは重大な脅威ではない - ockeghem(徳丸浩)の日記” http://t.co/so8Y2fWu
2011-12-05 23:56:41『セッションアダプションが致命的な脆弱性であることは少しブラウザのクッキーで実験してみれば分かる』<実験した http://t.co/so8Y2fWu / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/q71OS4dE
2011-12-05 23:57:14[メモ] まず、何を「セッションアダプション」と呼んでいるのかが良くわからないです。他にもいろいろよくわからないですが。 http://t.co/GCttMOSe
2011-12-06 10:36:41既知になってから6年も放置していても悪用事例が1件も無いのは、大した脆弱性じゃないという証拠なのではないかと。 / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/oJQUcSZ1
2011-12-06 14:22:42このエントリから一年経ちましたが、まだ「克服」されていないですよー(PHP5.4.9で確認) > @yohgaki PHPのセッションアダプション脆弱性克服への道のり http://t.co/30PhC9Qc
2012-12-06 14:54:47@ockeghem Gitへの移行とかがあったからRMが忘れてたみたいですね。私がPULLリクエストを送るまでは修正されないと思いますよ。
2012-12-06 16:44:38@awebprogrammer セッションIDはWebセキュリティの要。細かいところにツッコミが好きな徳丸さんらしくないですね。という自分もみんな知ってて正しく使ってるだろう、ということで急いではいないですが。
2012-12-07 16:06:41昨日セッション管理の話題があったので思いつきました。【問題】PHPのsession_regenerate_id()はログイン処理の最初に行うべき。◯か?☓か?
2012-12-08 08:47:1012月7日のtwitterセキュリティクラスタ: セッションアダプション脆弱性?に... http://t.co/20B6Un32
2012-12-08 09:51:05時間無いのにブログを書いた。セッションアダプション脆弱性ってなんでこうも理解されづらいのだろう。すごく直感的に解ることだと思うのだが。。
2012-12-09 19:08:43PHPのセッションアダプション脆弱性は修正して当然の脆弱性: PHPのセッションアダプション脆弱性がどのように影響するのか、広く誤解されているようです。セキュリティ専門家でも正しく理解していないので、一部のPHP開発者が正し... http://t.co/cbBG5fJ6
2012-12-09 19:13:26試してみたけど、説明の通りには動かないねぇ。 last_val こそ固定のままだけど、val は常に更新された。 Firefox/Chrome on XP で検証。 レスポンス見る限り Set-Cookie ヘッダは毎回変わってるし。 https://t.co/yfLTT79k
2012-12-09 20:47:02