-
- いいね!40
Yasuo Ohgaki (大垣靖男)
@yohgaki
@ockeghem 徳丸さんは私のブログもチェックされていると思いますが念の為 http://t.co/3HPnlhzM あまりネットの情報を詳しくフォローできていないので何かご意見があったら教えてください。
2012-12-11 13:11:11
Yasuo Ohgaki (大垣靖男)
@yohgaki
@ikepyon もしかして、まだ入力バリデーションの事を言ってる?武士の情けとして指名でトドメはまでは刺してないのだけど、必要なのかな?
2012-12-11 13:17:00
Yasuo Ohgaki (大垣靖男)
@yohgaki
ホワイト・ブラックリスト、入力バリデーション、SQLインジェクション対策、いづれも論理的な問題がある件についてはそのうちしっかり説明しないとならないのでしょうね。
2012-12-11 13:22:26
Yasuo Ohgaki (大垣靖男)
@yohgaki
セッションアダプションとセッションフィクセイションとセッションハイジャックの違いとは: 徳丸さんがセッションアダプションをなくしても、セッションハイジャックが出来るのでsession_regenerate_id(true) ... http://t.co/tqyq73na
2012-12-11 13:24:39
yousukezan
@yousukezan
徳丸さんがセッションアダプションをなくしてもセッションハイジャック出来るのでsession_regenerate_idをしなければという記事。私もイベント毎、定期的にセッションIDを更新することをベストプラクティスとしてお勧めしています。 http://t.co/LxUBb5d0
2012-12-11 13:32:09
yousukezan
@yousukezan
徳丸さんがセッションアダプションをなくしても、セッションハイジャック出来るのでsession_regenerate_idをしなければならないという記事。私もsession_regenerate_idでセッションIDを更新することをベストプラクティスとしてお勧めしています。
2012-12-11 13:51:14
Yosuke HASEGAWA
@hasegawayosuke
「あまりきちんと読んでないけど」みたいな免罪符ちりばめての発言を繰り返すの、恥ずかしくないのかな。
2012-12-11 14:05:44
Yosuke HASEGAWA
@hasegawayosuke
「顔見知りなのでズバリいくことにする」 ←→ 「武士の情けとして指名でトドメはまでは刺してない」 #WAS業界対義語辞典
2012-12-11 14:18:03
Yasuo Ohgaki (大垣靖男)
@yohgaki
セッションアダプションとセッションフィクセイションとセッションハイジャックの違いとは http://t.co/5nZpUpIj 補足、追加しました。
2012-12-11 14:47:06
Nori(情報ブロイラー)
@bgnori
徳丸浩のtumblr: セッションアダプションがなくてもセッションフィクセイション攻撃は可能 - ockeghem: 大垣(@yohgaki)さんと、セッションアダプション脆弱性が「重大な脅威」か否かで論争を続けていま… http://t.co/bzOlnlG7
2012-12-11 10:37:32
Yasuo Ohgaki (大垣靖男)
@yohgaki
@bgnori @bizcoollinks http://t.co/HIkgM0l2 よろしければこちらもどうぞ。
2012-12-11 15:14:33
junichi_y
@junysb3
セッションアダプションがなくてもセッションフィクセイション攻撃は可能 - 徳丸浩のtumblr: 大垣(@yohgaki)さんと、セッションアダプション脆弱性が「重大な脅威」か否かで論争を続けています。 大垣さん:第25回 ... http://t.co/6lW5gFKf
2012-12-11 15:58:04
むうみん
@mumincacao
SID を外部から指定できなければ内部で生成されたのを持ち出しちゃえばいいじゃない☆ ・・・にしてもなんかずっとぼたんのかけ違いしてる感あるこの話題の原因はいったいどこなんだろ?(・x【みかん http://t.co/Uy4b4hfP
2012-12-11 16:31:27
Ikeda Masakazu
@ikepyon
セッションフィクセイションは指定したセッションIDでセッションを開始できる問題。セッションIDの値は任意の物でもいいし、一度払い出されたものを再利用してもいい
2012-12-11 18:18:17