7
リンク はてなダイアリー 6 とくまるひろしのSession Fixation攻撃入門 - ockeghem(徳丸浩)の日記 やぁ、みんな,元気?とくまるひろしです。今日はSession Fixation攻撃の方法をこっそり教えちゃうよ。 ..

リンク gihyo.jp 87 users 4 第25回 PHPのアキレス腱 ── セッション管理|gihyo.jp … 技術評論社 gihyo.jp:技術評論社提供のIT関連コンテンツサイト
リンク はてなダイアリー 5 PHPのSession Adoptionは重大な脅威ではない - ockeghem(徳丸浩)の日記 なぜPHPアプリにセキュリティホールが多いのか?:第25回 PHPのアキレス腱にて、大垣靖男氏がPHPのSession ..

Masashi Shinbara @shin1x1
5日目! #phpadvent2011 / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/gKi7ZGfx
徳丸 浩 @ockeghem
2009/5/15の日記(再) / “PHPのSession Adoptionは重大な脅威ではない - ockeghem(徳丸浩)の日記” http://t.co/so8Y2fWu
徳丸 浩 @ockeghem
『セッションアダプションが致命的な脆弱性であることは少しブラウザのクッキーで実験してみれば分かる』<実験した http://t.co/so8Y2fWu / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/q71OS4dE
水無月ばけら @bakera
[メモ] まず、何を「セッションアダプション」と呼んでいるのかが良くわからないです。他にもいろいろよくわからないですが。 http://t.co/GCttMOSe
rryu🕴️ @rryu2010
既知になってから6年も放置していても悪用事例が1件も無いのは、大した脆弱性じゃないという証拠なのではないかと。 / “PHPのセッションアダプション脆弱性克服への道のり” http://t.co/oJQUcSZ1

徳丸 浩 @ockeghem
このエントリから一年経ちましたが、まだ「克服」されていないですよー(PHP5.4.9で確認) > @yohgaki PHPのセッションアダプション脆弱性克服への道のり http://t.co/30PhC9Qc
Yasuo Ohgaki (大垣靖男) @yohgaki
@ockeghem Gitへの移行とかがあったからRMが忘れてたみたいですね。私がPULLリクエストを送るまでは修正されないと思いますよ。
徳丸 浩 @ockeghem
@yohgaki リプライありがとうございます
徳丸 浩 @ockeghem
PHPのセッションアダプションは今でもある - 徳丸浩のtumblr http://t.co/zQyPJUXG
リンク tumblr.tokumaru.org 8 users PHPのセッションアダプションは今でもある 今年もアドベントカレンダーの季節となりました。既に楽しい記事が多数紹介されています。僕も、今年は初めてアドベントカレンダーに参加しようと思い、PHP Advent Calendar 2012にエントリしています。 去年のPHP Advent Calendar jp 2011にはどんなネタが上がっていたかと思いタイトル一覧を見ておりましたら、見覚えのあるエントリがありました。  ...
ワテ @aWebprogrammer
PHPのセッションアダプションは今でもある - 徳丸浩のtumblr http://t.co/EEMHu4gy
Yasuo Ohgaki (大垣靖男) @yohgaki
@awebprogrammer セッションIDはWebセキュリティの要。細かいところにツッコミが好きな徳丸さんらしくないですね。という自分もみんな知ってて正しく使ってるだろう、ということで急いではいないですが。
Yasuo Ohgaki (大垣靖男) @yohgaki
昨日セッション管理の話題があったので思いつきました。【問題】PHPのsession_regenerate_id()はログイン処理の最初に行うべき。◯か?☓か?
yousukezan @yousukezan
12月7日のtwitterセキュリティクラスタ: セッションアダプション脆弱性?に... http://t.co/20B6Un32
Yasuo Ohgaki (大垣靖男) @yohgaki
時間無いのにブログを書いた。セッションアダプション脆弱性ってなんでこうも理解されづらいのだろう。すごく直感的に解ることだと思うのだが。。
Yasuo Ohgaki (大垣靖男) @yohgaki
PHPのセッションアダプション脆弱性は修正して当然の脆弱性: PHPのセッションアダプション脆弱性がどのように影響するのか、広く誤解されているようです。セキュリティ専門家でも正しく理解していないので、一部のPHP開発者が正し... http://t.co/cbBG5fJ6
一ノ瀬 いろは @ichinose_iroha
試してみたけど、説明の通りには動かないねぇ。 last_val こそ固定のままだけど、val は常に更新された。 Firefox/Chrome on XP で検証。 レスポンス見る限り Set-Cookie ヘッダは毎回変わってるし。 https://t.co/yfLTT79k
残りを読む(215)

コメント

Kousuke Ebihara @co3k 2012年12月15日
https://twitter.com/bulkneets/status/277723212543033344 このリプライはセッションアダプションの文脈でおこなわれたものではないように見えますが、このまとめに入れたのは意図してのことでしょうか?
きゃっつ(Kats)⊿7/20乃木坂福岡ドーム @grayengineer 2012年12月15日
流れを通して読みながら「何を言いたいのか、何を言ってるのか」がよくわかる人と、全然わからない人とにきれいに二分されていると思った。どっちがだれ、と言わなくてもたぶん多くの人が同じじゃないかと思うが
まきのっぴ @pmakino 2012年12月15日
確かにリプライ先を見ると別の文脈の話だったようですね。タイミング的にぴったりはまったので勘違いして混入させてしまいました。削除しておきます。
ログインして広告を非表示にする
ログインして広告を非表示にする