PHPのSession Adoptionは重大な脅威ではない - ockeghem's blog
なぜPHPアプリにセキュリティホールが多いのか?:第25回 PHPのアキレス腱にて、大垣靖男氏がPHPのSession Adoption問題について取り上げている。大垣氏は度々この問題を取り上げているが、今のところ氏の主張に同調する人を見かけない。それもそのはずで、大垣氏の主張は間違っていると私は思う。 以下、大垣氏の主張を実際に試してみる形で、順に説明しよう。 大垣氏の主張 大垣氏の主張は、PHPにはSession Adoption脆弱性があるために、標準的なSession Fixation対策であるsession_regenerate_id()を施しても、その対策は有効ではないというものだ。 しかし,実際には現在に至るまでPHPのセッションモジュールのセッションアダプション脆弱性は修正されないままになっています。このために,本来はsession_regenerate_id関数をログイン
Mozilla Re-Mix: 安全・高速なWebサーフィンを実現する「OpenDNS」
皆さんご存じのように、ブラウザにURLを入力するとそれに該当するIPアドレスを引っ張ってサイトを表示するようになっています。 このような名前解決は、一般的にプロバイダなどから提供されるDNSサーバーが担うものですが、これらは安全性に欠けているとされているものもあれば、一部のサーバーでは名前解決ができないような場合もあります。 また、解決に要する時間はDNSサーバーに左右されることから、処理の速いDNSサーバーを使えばWebサーフィンの高速化に繋がるとも言えます。 「OpenDNS」は、こうした脆弱性を排除し、かつ、高速なブラウジングを実現するために提供されているフリーのDNSサーバーです。 管理者も、遅まきながらこの「OpenDNS」を導入し、Firefoxやその他のブラウザでどのように変化があったのか確認してみました。 「OpenDNS」の導入は、Firefoxになんらかの設定を行うとい
Firefoxで「プライバシー情報の消去」の全部にチェックしても履歴は完全には削除されない - Active Galactic : 11次元と自然科学と拷問的日常
っていうことを、今頃知った。みんなで使うパソコンの設定をしていた身としては、履歴やクッキー、パスワードやフォームの類を全削除にしておけば問題はなく、クリーンなブラウザを快適に使ってもらえると思ってた。 へぇ、Flashクッキーなんて楽しい手段があるんだ。マクロメディアのローカルフォルダにクッキーがばっちり残っているじゃないか。Adobe Flashにはブラウザのクッキーとは独立した個人情報保管システムがあるみたいだね。他のプラグインも独自にローカルフォルダにデータを保管していたりするのかな。ん、ニコニコ動画の前回検索タグ履歴なんてのがあるぞ。 多分、Windowsだとこの辺にあると思う。 >C:\Documents and Settings\ユーザー名\Application Data\Macromedia\Flash Player\#SharedObjects\ もちろん、これは特定のブ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IDEA*IDEA 〜 とあるサービス運営者が学んだことをまとめるブログ
