セッションアダプションがなくてもセッションフィクセイション攻撃は可能

大垣（@yohgaki）さんと、セッションアダプション脆弱性が「重大な脅威」か否かで論争を続けています。 大垣さん:第25回 PHPのアキレス腱 ── セッション管理徳丸:PHPのSession Adoptionは重大な脅威ではない大垣さん:PHPのセッションアダプション脆弱性は修正して当然の脆弱性議論がかみ合わないので、twitterで「ブログ読みました。サンプルも動かしました。問題は分かるのですが、セッションアダプションがないPHPだと、何が改善されるのかが分かりません。教えて下さい」とツイートしたところ、大垣さんがブログで返信下さいました。 大垣さん: セッションアダプション脆弱性がないセッション管理が必要な理由これを読んでかみ合わない理由が分かりました。大垣さん、ありがとうございます。以下大垣さんのブログの末尾を引用します。 脱線しましたが、何が改善されるのか？結論は ログイン時に

[mi1kman]

いつものすれ違い芸 / セキュリティ界のアンジャッシュ

[karupanerura]

わかりやすい

[szks]

これに対して「セッションDBが共有されてるから」とか「同じブラウザだから」という反応が出てくるというのは、どのようにしてセキュリティリスクが見誤られるのかという点で興味深い

[mas-higa]

これはすごい

[FTTH]

大垣さんはセキュリティ守破離の材料（「離」担当）として最適案件の一例

[kebo1213]

攻撃方法みたいな

[mumincacao]

SID を外部から指定できなければ内部で生成されたのを持ち出しちゃえばいいじゃない☆ ・・・にしてもなんかずっとぼたんのかけ違いしてる感あるこの話題の原因はいったいどこなんだろ？（・ｘ【みかん

[koba04]

わかりやすい

[sho]

わかりやすい