PHPのセッションアダプションは重大な脅威か否か論争

あとで読む
8
前へ 1 ・・ 8 9 次へ
徳丸 浩 @ockeghem

セッションアダプションに対する私の見解 - 徳丸浩のtumblr http://t.co/bi7L0Ga6

2012-12-14 09:43:52
リンク tumblr.tokumaru.org セッションアダプションに対する私の見解 先にエントリ「セッションアダプションがなくてもセッションフィクセイション攻撃は可能」に対して、大垣(@yohgaki)さんから、「セッションフィクセイションはアダプション脆弱性修正で防御可能」というブログエントリで反論をいただきました。 大垣さんのエントリは長いのですが、反論のポイントは、以下の2点だと思いました。 "... 37 users 33
kenjis @kenji_s

初期化されていないセッションIDをわざわざ受け入れる必要はないので、セッションアダプションは単なるバグで粛々と修正したらいいというだけな気がします

2012-12-14 10:00:27
NOV1975 @NOV1975

やっておいた方がベターがこれだけやっときゃ大丈夫に化けるとなんか代替医療みたいだな / “セッションアダプションに対する私の見解 - 徳丸浩のtumblr” http://t.co/6oS5OcuB

2012-12-14 12:45:55
Ikeda Masakazu @ikepyon

そろそろ保険的対策とか、メリットよりデメリットのほうが大きい対策とか、意味のない対策を必須だというのは辞めてもらいたい

2012-12-14 12:54:21
Ikeda Masakazu @ikepyon

あと、それほど重大でもない問題を重大な問題だというのもやめて欲しい

2012-12-14 12:55:17
Ikeda Masakazu @ikepyon

やっぱ国語の読解力は重要だな

2012-12-14 13:09:45
Ikeda Masakazu @ikepyon

ふと思ったが自己の主張を裏付けるために、他者の主張を都合よく解釈するのってエセ科学がよく使う手法だなあw

2012-12-14 13:52:31
Gate of Heavenly Peace @ajiyoshi

バリデーションのときも思ったけど、大垣さんという方って脆弱性の本質的な問題点はどこでありどう対応するのが正しいかについてすごく特殊な理解をされる方だなあという印象。 http://t.co/PqrtWP19 セッションアダプションに対する私の見解 - 徳丸浩のtumblr

2012-12-14 13:27:05
Shin Suzuki @suzukis

これに対して「セッションDBが共有されてるから」とか「同じブラウザだから」という反応が出てくるというのは、どのようにしてセキュリティリスクが見誤られるのかという点で興味深い / “セッションアダプションがなくてもセッションフィクセイシ…” http://t.co/iNOM3QJp

2012-12-14 13:48:22
一ノ瀬 いろは @ichinose_iroha

論点や課題が整理されており、非常に解りやすいです。 ”セッションアダプションに対する私の見解 - 徳丸浩のtumblr” http://t.co/ionixt4Y

2012-12-14 13:55:45
ワテ @aWebprogrammer

「セッションアダプションはないほうがいい、あったとしても影響は小さい」ってことにの見解の相違かなぁって感じかな?

2012-12-14 16:56:14
伏原 幹 @__kan

コントっぽい / “PHPのセッションアダプションは重大な脅威か否か論争 - Togetter” http://t.co/URUypqRL

2012-12-15 13:08:49
一ノ瀬 いろは @ichinose_iroha

これ自分は大垣さんの主張を否定する気はなくて、「何言ってるかよく分からないのでちゃんと解説して欲しい」ってだけなんですけどね。 @pmakino さんの「PHPのセッションアダプションは重大な脅威か否か論争」をお気に.. http://t.co/u3q80mCI

2012-12-15 13:38:11
かるぱねるら @karupanerura

[security]わかりやすい / “セッションアダプションがなくてもセッションフィクセイション攻撃は可能 - 徳丸浩のtumblr” http://t.co/3T3Z9ESE

2012-12-15 13:54:48
okumuri @okumuri

ikepyonとyohgakiのやりとりにフイタ。まさにコントレベル。例えて言うなら、ほしのあきに「ネット詐欺って怖いね」って言ったら「そうだね」って返されたレベル。 / PHPのセッションアダプションは重大な脅威か否か論争 http://t.co/IFiMGobf

2012-12-15 14:46:16
rryu🐋 @rryu2010

大垣さんがまだ修正されていない事実を知っても1ミリたりとも動揺しないどころか、すぐさまpullリクエストを送るつもりもない感じが、割とどうでも良い脆弱性である証拠のような。 / “PHPのセッションアダプションは重大な脅威か否か論争 …” http://t.co/bfyCMET7

2012-12-15 17:41:56
Hiromitsu Takagi @HiromitsuTakagi

RT @yohgaki: FB良品の次はバッテリーエイドなのか。説得してどうしようも無い場合は強い対応にでる以外に改善の方法はない、という世知辛い世の中ですが必要悪ですね

2012-12-15 22:18:04
Hiromitsu Takagi @HiromitsuTakagi

「説得してどうしようも無い場合は強い対応にでる以外に改善の方法はない、という世知辛い世の中」 http://t.co/UgG3VAA8

2012-12-15 22:21:40
Yasushi Abe @yasushia

RT @grayengineer: 流れを通して読みながら「何を言いたいのか、何を言ってるのか」がよくわかる人と、全然わからない人とにきれいに二分されていると思った。どっちがだれ、と言わなくてもたぶん多くの人が同じじゃないかと思うが http://t.co/fhlNDnFL

2012-12-15 22:27:44
Yasushi Abe @yasushia

フィクセイションだからある特定の値に固定する、と考えてたってことなの

2012-12-15 22:42:33
otafood @otafood

"大垣さんのご著書から、セッションの防御機能をお借りして、かつ大垣さん作のStrict Sessionパッチを導入した状態でも、セッションフィクセイション攻撃を防ぐことはできま… http://t.co/4IsbBDT2

2012-12-16 01:41:04
nov matake @nov

あかんで!このタイミングでPHP Disったらあかんで!w http://t.co/GRBVqON4

2012-12-16 03:39:24
kitoku_magic @kitoku_magic

開発者からすると、「対策はシンプルに越したことはない」とか「別に、脆弱性他にも沢山あるし、実質的にどうなのか」に注目するのでは。で、セッションID振り直せば良いで終わる話の様な。 : PHPのセッションアダプションは重大な脅威か否か論争 http://t.co/NM4B8M3X

2012-12-16 20:56:43
徳丸 浩 @ockeghem

セッションフィクセイション脆弱性の影響を受けやすいサイトとは | 徳丸浩の日記 http://t.co/WENZQsff

2012-12-17 09:30:55
前へ 1 ・・ 8 9 次へ

いま話題のタグ

修学旅行180 松屋139 サーティワン33 動物のお医者さん44 クレヨンしんちゃん215 ホラー1594 光る君へ67 珪GO166 思い込みと謎のプライドだけで物事を捉えたとき観念の化け物が錬成される19 ドラえもん904 台湾1296 ディズニー983 飲食店367 ミャクミャク51 荒木飛呂彦158