-
- いいね!40
Masashi Shinbara
@shin1x1
5日目! #phpadvent2011 / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/gKi7ZGfx
2011-12-05 20:55:24
徳丸 浩
@ockeghem
2009/5/15の日記(再) / “PHPのSession Adoptionは重大な脅威ではない - ockeghem(徳丸浩)の日記” http://t.co/so8Y2fWu
2011-12-05 23:56:41
徳丸 浩
@ockeghem
『セッションアダプションが致命的な脆弱性であることは少しブラウザのクッキーで実験してみれば分かる』<実験した http://t.co/so8Y2fWu / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/q71OS4dE
2011-12-05 23:57:14
水無月ばけら
@bakera
[メモ] まず、何を「セッションアダプション」と呼んでいるのかが良くわからないです。他にもいろいろよくわからないですが。 http://t.co/GCttMOSe
2011-12-06 10:36:41
rryu🐋
@rryu2010
既知になってから6年も放置していても悪用事例が1件も無いのは、大した脆弱性じゃないという証拠なのではないかと。 / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/oJQUcSZ1
2011-12-06 14:22:42
徳丸 浩
@ockeghem
このエントリから一年経ちましたが、まだ「克服」されていないですよー(PHP5.4.9で確認) > @yohgaki PHPのセッションアダプション脆弱性克服への道のり http://t.co/30PhC9Qc
2012-12-06 14:54:47
Yasuo Ohgaki (大垣靖男)
@yohgaki
@ockeghem Gitへの移行とかがあったからRMが忘れてたみたいですね。私がPULLリクエストを送るまでは修正されないと思いますよ。
2012-12-06 16:44:38
Yasuo Ohgaki (大垣靖男)
@yohgaki
@awebprogrammer セッションIDはWebセキュリティの要。細かいところにツッコミが好きな徳丸さんらしくないですね。という自分もみんな知ってて正しく使ってるだろう、ということで急いではいないですが。
2012-12-07 16:06:41
Yasuo Ohgaki (大垣靖男)
@yohgaki
昨日セッション管理の話題があったので思いつきました。【問題】PHPのsession_regenerate_id()はログイン処理の最初に行うべき。◯か?☓か?
2012-12-08 08:47:10
yousukezan
@yousukezan
12月7日のtwitterセキュリティクラスタ: セッションアダプション脆弱性?に... http://t.co/20B6Un32
2012-12-08 09:51:05
Yasuo Ohgaki (大垣靖男)
@yohgaki
時間無いのにブログを書いた。セッションアダプション脆弱性ってなんでこうも理解されづらいのだろう。すごく直感的に解ることだと思うのだが。。
2012-12-09 19:08:43
Yasuo Ohgaki (大垣靖男)
@yohgaki
PHPのセッションアダプション脆弱性は修正して当然の脆弱性: PHPのセッションアダプション脆弱性がどのように影響するのか、広く誤解されているようです。セキュリティ専門家でも正しく理解していないので、一部のPHP開発者が正し... http://t.co/cbBG5fJ6
2012-12-09 19:13:26
一ノ瀬 いろは
@ichinose_iroha
試してみたけど、説明の通りには動かないねぇ。 last_val こそ固定のままだけど、val は常に更新された。 Firefox/Chrome on XP で検証。 レスポンス見る限り Set-Cookie ヘッダは毎回変わってるし。 https://t.co/yfLTT79k
2012-12-09 20:47:02