初期化されていないセッションIDをわざわざ受け入れる必要はないので、セッションアダプションは単なるバグで粛々と修正したらいいというだけな気がします
2012-12-14 10:00:27やっておいた方がベターがこれだけやっときゃ大丈夫に化けるとなんか代替医療みたいだな / “セッションアダプションに対する私の見解 - 徳丸浩のtumblr” http://t.co/6oS5OcuB
2012-12-14 12:45:55そろそろ保険的対策とか、メリットよりデメリットのほうが大きい対策とか、意味のない対策を必須だというのは辞めてもらいたい
2012-12-14 12:54:21バリデーションのときも思ったけど、大垣さんという方って脆弱性の本質的な問題点はどこでありどう対応するのが正しいかについてすごく特殊な理解をされる方だなあという印象。 http://t.co/PqrtWP19 セッションアダプションに対する私の見解 - 徳丸浩のtumblr
2012-12-14 13:27:05これに対して「セッションDBが共有されてるから」とか「同じブラウザだから」という反応が出てくるというのは、どのようにしてセキュリティリスクが見誤られるのかという点で興味深い / “セッションアダプションがなくてもセッションフィクセイシ…” http://t.co/iNOM3QJp
2012-12-14 13:48:22論点や課題が整理されており、非常に解りやすいです。 ”セッションアダプションに対する私の見解 - 徳丸浩のtumblr” http://t.co/ionixt4Y
2012-12-14 13:55:45コントっぽい / “PHPのセッションアダプションは重大な脅威か否か論争 - Togetter” http://t.co/URUypqRL
2012-12-15 13:08:49これ自分は大垣さんの主張を否定する気はなくて、「何言ってるかよく分からないのでちゃんと解説して欲しい」ってだけなんですけどね。 @pmakino さんの「PHPのセッションアダプションは重大な脅威か否か論争」をお気に.. http://t.co/u3q80mCI
2012-12-15 13:38:11[security]わかりやすい / “セッションアダプションがなくてもセッションフィクセイション攻撃は可能 - 徳丸浩のtumblr” http://t.co/3T3Z9ESE
2012-12-15 13:54:48ikepyonとyohgakiのやりとりにフイタ。まさにコントレベル。例えて言うなら、ほしのあきに「ネット詐欺って怖いね」って言ったら「そうだね」って返されたレベル。 / PHPのセッションアダプションは重大な脅威か否か論争 http://t.co/IFiMGobf
2012-12-15 14:46:16大垣さんがまだ修正されていない事実を知っても1ミリたりとも動揺しないどころか、すぐさまpullリクエストを送るつもりもない感じが、割とどうでも良い脆弱性である証拠のような。 / “PHPのセッションアダプションは重大な脅威か否か論争 …” http://t.co/bfyCMET7
2012-12-15 17:41:56RT @yohgaki: FB良品の次はバッテリーエイドなのか。説得してどうしようも無い場合は強い対応にでる以外に改善の方法はない、という世知辛い世の中ですが必要悪ですね
2012-12-15 22:18:04「説得してどうしようも無い場合は強い対応にでる以外に改善の方法はない、という世知辛い世の中」 http://t.co/UgG3VAA8
2012-12-15 22:21:40RT @grayengineer: 流れを通して読みながら「何を言いたいのか、何を言ってるのか」がよくわかる人と、全然わからない人とにきれいに二分されていると思った。どっちがだれ、と言わなくてもたぶん多くの人が同じじゃないかと思うが http://t.co/fhlNDnFL
2012-12-15 22:27:44"大垣さんのご著書から、セッションの防御機能をお借りして、かつ大垣さん作のStrict Sessionパッチを導入した状態でも、セッションフィクセイション攻撃を防ぐことはできま… http://t.co/4IsbBDT2
2012-12-16 01:41:04開発者からすると、「対策はシンプルに越したことはない」とか「別に、脆弱性他にも沢山あるし、実質的にどうなのか」に注目するのでは。で、セッションID振り直せば良いで終わる話の様な。 : PHPのセッションアダプションは重大な脅威か否か論争 http://t.co/NM4B8M3X
2012-12-16 20:56:43