PHPのセッションアダプションは重大な脅威か否か論争

あとで読む
8
リンク はてなダイアリー とくまるひろしのSession Fixation攻撃入門 - ockeghem(徳丸浩)の日記 やぁ、みんな,元気?とくまるひろしです。今日はSession Fixation攻撃の方法をこっそり教えちゃうよ。 .. 6

リンク gihyo.jp 第25回 PHPのアキレス腱 ── セッション管理|gihyo.jp … 技術評論社 gihyo.jp:技術評論社提供のIT関連コンテンツサイト 87 users 4
リンク はてなダイアリー PHPのSession Adoptionは重大な脅威ではない - ockeghem(徳丸浩)の日記 なぜPHPアプリにセキュリティホールが多いのか?:第25回 PHPのアキレス腱にて、大垣靖男氏がPHPのSession .. 5

Masashi Shinbara @shin1x1

5日目! #phpadvent2011 / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/gKi7ZGfx

2011-12-05 20:55:24
徳丸 浩 @ockeghem

2009/5/15の日記(再) / “PHPのSession Adoptionは重大な脅威ではない - ockeghem(徳丸浩)の日記” http://t.co/so8Y2fWu

2011-12-05 23:56:41
徳丸 浩 @ockeghem

『セッションアダプションが致命的な脆弱性であることは少しブラウザのクッキーで実験してみれば分かる』<実験した http://t.co/so8Y2fWu / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/q71OS4dE

2011-12-05 23:57:14
水無月ばけら @bakera

[メモ] まず、何を「セッションアダプション」と呼んでいるのかが良くわからないです。他にもいろいろよくわからないですが。 http://t.co/GCttMOSe

2011-12-06 10:36:41
rryu🕳 @rryu2010

既知になってから6年も放置していても悪用事例が1件も無いのは、大した脆弱性じゃないという証拠なのではないかと。 / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/oJQUcSZ1

2011-12-06 14:22:42

徳丸 浩 @ockeghem

このエントリから一年経ちましたが、まだ「克服」されていないですよー(PHP5.4.9で確認) > @yohgaki PHPのセッションアダプション脆弱性克服への道のり http://t.co/30PhC9Qc

2012-12-06 14:54:47
Yasuo Ohgaki (大垣靖男) @yohgaki

@ockeghem Gitへの移行とかがあったからRMが忘れてたみたいですね。私がPULLリクエストを送るまでは修正されないと思いますよ。

2012-12-06 16:44:38
徳丸 浩 @ockeghem

@yohgaki リプライありがとうございます

2012-12-06 16:56:41
徳丸 浩 @ockeghem

PHPのセッションアダプションは今でもある - 徳丸浩のtumblr http://t.co/zQyPJUXG

2012-12-07 10:21:19
リンク tumblr.tokumaru.org PHPのセッションアダプションは今でもある 今年もアドベントカレンダーの季節となりました。既に楽しい記事が多数紹介されています。僕も、今年は初めてアドベントカレンダーに参加しようと思い、PHP Advent Calendar 2012にエントリしています。 去年のPHP Advent Calendar jp 2011にはどんなネタが上がっていたかと思いタイトル一覧を見ておりましたら、見覚えのあるエントリがありました。  ... 8 users
ワテ @aWebprogrammer

PHPのセッションアダプションは今でもある - 徳丸浩のtumblr http://t.co/EEMHu4gy

2012-12-07 15:51:33
Yasuo Ohgaki (大垣靖男) @yohgaki

@awebprogrammer セッションIDはWebセキュリティの要。細かいところにツッコミが好きな徳丸さんらしくないですね。という自分もみんな知ってて正しく使ってるだろう、ということで急いではいないですが。

2012-12-07 16:06:41
Yasuo Ohgaki (大垣靖男) @yohgaki

昨日セッション管理の話題があったので思いつきました。【問題】PHPのsession_regenerate_id()はログイン処理の最初に行うべき。◯か?☓か?

2012-12-08 08:47:10
yousukezan @yousukezan

12月7日のtwitterセキュリティクラスタ: セッションアダプション脆弱性?に... http://t.co/20B6Un32

2012-12-08 09:51:05
Yasuo Ohgaki (大垣靖男) @yohgaki

時間無いのにブログを書いた。セッションアダプション脆弱性ってなんでこうも理解されづらいのだろう。すごく直感的に解ることだと思うのだが。。

2012-12-09 19:08:43
Yasuo Ohgaki (大垣靖男) @yohgaki

PHPのセッションアダプション脆弱性は修正して当然の脆弱性: PHPのセッションアダプション脆弱性がどのように影響するのか、広く誤解されているようです。セキュリティ専門家でも正しく理解していないので、一部のPHP開発者が正し... http://t.co/cbBG5fJ6

2012-12-09 19:13:26
一ノ瀬 いろは @ichinose_iroha

試してみたけど、説明の通りには動かないねぇ。 last_val こそ固定のままだけど、val は常に更新された。 Firefox/Chrome on XP で検証。 レスポンス見る限り Set-Cookie ヘッダは毎回変わってるし。 https://t.co/yfLTT79k

2012-12-09 20:47:02
残りを読む(215)

コメント

Kousuke Ebihara @co3k 2012年12月15日
https://twitter.com/bulkneets/status/277723212543033344 このリプライはセッションアダプションの文脈でおこなわれたものではないように見えますが、このまとめに入れたのは意図してのことでしょうか?
0
きゃっつ(Kats)⊿ @grayengineer 2012年12月15日
流れを通して読みながら「何を言いたいのか、何を言ってるのか」がよくわかる人と、全然わからない人とにきれいに二分されていると思った。どっちがだれ、と言わなくてもたぶん多くの人が同じじゃないかと思うが
0
まきのっぴ @pmakino 2012年12月15日
確かにリプライ先を見ると別の文脈の話だったようですね。タイミング的にぴったりはまったので勘違いして混入させてしまいました。削除しておきます。
0