徳丸浩 - Google+ - ぼくの考えたさいきょうの「厳密なセッション管理」PHPセッションアダプションに関連して、大垣さんの... https://t.co/1YI9vYvO
2012-12-13 12:56:45@ockeghem これ、返信し忘れてました。セッションDBの分割とはセッションデータベースを分割する事です。DNSポイズニングは別ですがパターン3の変形でドメイン、パスでアプリ・ユーザ分割している場合、攻撃対象のDBからIDを作れないと攻撃できません。
2012-12-13 13:21:07私のPoCでは攻撃対象のアプリケーションから直接セッションIDを得るので分割は関係ありません RT @yohgaki: @ockeghem セッションデータベースを分割する事です・・ドメイン、パスでアプリ・ユーザ分割している場合、攻撃対象のDBからIDを作れないと攻撃できません。
2012-12-13 15:01:47徳丸は「サポートライフサイクルポリシー入門」と題してショートトークします。まだお席には余裕があるようですよw #WASNIGHT2012 Web AppSec Night 2012 : ATND http://t.co/pWY6vJyn
2012-12-13 15:06:37攻撃手法の実例/セッションアダプションがなくてもセッションフィクセイション攻撃は可能 http://t.co/FcbYRyB2
2012-12-13 18:00:15セッションフィクセイションってセッションを開始するタイミングとセッションIDを発行して有効にするタイミングが違うと発生するんじゃね?
2012-12-13 18:27:41それらが一緒だと、受け取ったセッションIDを使っていいのか、新たにセッションを開始したいのかがわからなくなる?なんか違うな
2012-12-13 18:52:04@ockeghem 同じアプリ・データベースの場合はそうです。アプリが分割されている場合(ホスティングなどでよくある構成)では保護できます。保護と言うのは別アプリの影響を受けないう意味で。これだけでも随分良いことだと思います。
2012-12-13 19:25:04「アダプション対策だけで大丈夫な場合もあるし、だめな場合もある」みたいなスネークマンショーなのかこれ。
2012-12-13 23:48:45セッションID管理は結局どうすれば良いのか?: 脆弱性やセキュリティ対策について技術的な話ばかりしていたので「それで結局どうすれば良いの?」と思われた方も多いと思います。簡単にまとめます。漏れや追記した方が良い事などがあった... http://t.co/6c8IPqNI
2012-12-14 07:31:50@yohgaki session.cookie_httponlyの設定が逆です。「デフォルト有効。無効にする」→「デフォルト無効。有効にする」
2012-12-14 07:50:49@kenji_s @m_sudo cookie_httponlyの有効・無効が反対でした。ありがとうございました!
2012-12-14 08:49:43最近、細かい技術的な話ばかりだったので、PHPのセッション管理は結局どうすればよいのか?ブログを書きました。 http://t.co/vwaej9c1 http://t.co/SRR250TK
2012-12-14 11:09:08