「最近、セッションフィクセイション脆弱性に対する関心がなぜか高まっています。」 セッションフィクセイションにまつわる諍いに対する関心が盛り上がってるだけじゃ。
2012-12-17 09:57:12[PHP][セキュリティ]この記事の具体的な攻撃手法が2009年のコレ→ http://t.co/kxQE9u8E 対策はこの記事中か徳丸本に書いてあるよ。 / “セッションフィクセイション脆弱性の影響を受けやすいサイトとは | 徳丸…” http://t.co/LemYwMIT
2012-12-17 16:39:53当たり前の話だけど大事 セッションフィクセイション脆弱性の影響を受けやすいサイトとは | 徳丸浩の日記 http://t.co/8yggD8x0
2012-12-18 09:21:55「開発者からすると、「対策はシンプルに越したことはない」とか「別に、脆弱性他にも沢山あるし、実質的にどうなのか」に注目するのでは。で、セッションID振り直せば良いで終わる話の様な。 」 / “PHPのセッションアダプションは重大な脅威…” http://t.co/tPzvBDbX
2012-12-18 10:39:54昨日、PHPのセッションアダプションが云々って話を聞いて、「何のこっちゃ?」と思って調べてみたら、rfcのstrict_sessionsのことだったのか… まだunder discussionですな...
2012-12-21 12:01:41Strict session · 9c5c4bb · yohgaki/php-src http://t.co/eoiyJ5vL PHP 5.3用のStrict sessionの新しいパッチ。行儀の悪いPSモジュールの対処をしたら、ついでにクラッシュバグも直りました。
2012-12-24 13:44:00Strict session · 42dcd8e · yohgaki/php-src http://t.co/fQkF9Yp7 無駄な差分を無くしたPHP5.3用のStrict sessionパッチ。これで良いかな?
2012-12-24 14:55:34大垣靖男氏の主張するセッションアダプションの危険性が理解できない。セッションフィクセイションの脆弱性が無くても危険という主張なんだろうか? セッションフィクセイション対策は簡単なので、フィクセイション対策で脆弱性がなくなるのであれば、アダプション対策の重要性はかなり低いと思う。
2012-12-25 01:25:35どうも、SQLインジェクションなどと同列に論じて、出来る対策は全てやったほうがよいという主張に見える。完全な対策が(あまり詳しくない人には)わかりづらいSQLインジェクションと、対処が簡単なセッションフィクセイション(つうかハイジャック?)は同列に語れないと思うのだけどなあ。
2012-12-25 01:28:03なんか大垣靖男氏のブログ、長い割に論点がなんなのか非才な俺の身ではよくわからん……。DBが別とか同じとか別にどうでもいい話なんじゃないのかなあ。
2012-12-25 01:30:06あ!何気に @nov のtweetも入ってる。> PHPのセッションアダプションは重大な脅威か否か論争 http://t.co/b7cRZZHq
2012-12-29 20:32:05入力フォームをHTTPSにしてなくても、受け側がHTTPSなら「しないよりマシ」かどうかを考えてみたけど、まぁ大差ないねぇ。攻撃の手間を考えても。盗聴するには元々なんらかの仕掛けが必要で、その仕掛けにちょっとだけ手間がかかる。セッションアダプションがない方がよいのと同じくらい
2012-12-30 12:41:43