セッションアダプションに対する私の見解

テクノロジーカテゴリーの変更を依頼記事元:

tumblr.tokumaru.org

36 usersがブックマークコメント

コメント

3

記事へのコメント3件

注目コメント
新着コメント

anrkny feed_fav "セッションアダプションに対する私の見解"

2013/04/04 リンク

burnworks 『2つの観点から、セッションアダプションを解消してもセッションフィクセイション脆弱性の解決にはならないことを説明』

2012/12/16 リンク

NOV1975 やっておいた方がベターがこれだけやっときゃ大丈夫に化けるとなんか代替医療みたいだな

web
security

2012/12/14 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

セッションアダプションに対する私の見解

先にエントリ「セッションアダプションがなくてもセッションフィクセイション攻撃は可能」に対して、大... 先にエントリ「セッションアダプションがなくてもセッションフィクセイション攻撃は可能」に対して、大垣(@yohgaki)さんから、「セッションフィクセイションはアダプション脆弱性修正で防御可能」というブログエントリで反論をいただきました。大垣さんのエントリは長いのですが、反論のポイントは、以下の2点だと思いました。徳丸のPoC（概念実証コード）では、セッションDBが分かれていないが、現実のレンタルサーバー等はセッションDBが分かれているので、攻撃はできないセッションには有効期間があり、セッションアダプションがない場合は、有効期間の過ぎたセッションIDが送信されても、セッションIDは再生成される。だから攻撃はできない以下、上記に反論します。セッションDBは元々関係ないセッションフィクセイション攻撃において、セッションを扱うのは、攻撃対象のサーバーだけです。大垣さんは、セッションフィクセイ

ブックマークしたユーザー

ugo_uozumi2013/05/27
anrkny2013/04/04
shin1x12012/12/24
kamipo2012/12/20
lEDfm4UE2012/12/19
yyamano2012/12/17
amourkarin2012/12/17
burnworks2012/12/16
wakuworks2012/12/15
sucrose2012/12/15
array08_122012/12/15
hajimehoshi2012/12/15
hiro_y2012/12/15
vifam842012/12/15
labunix2012/12/14
cubed-l2012/12/14
masakielastic22012/12/14
wate_wate2012/12/14

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx