Hideki SAKAMOTO の雑記 (2010-06-23)

◆ [Rails] 「Ruby on Rails 携帯サイト開発技法」第9章のサンプルコードに含まれる脆弱性について .tright small.(2010/6/25公開)^J2010/6/27: 「追記１」記載、微修正^J2010/6/28: 脚注*5 修正 まとめ ソフトバンククリエイティブ社から発行されている「Ruby on Rails 携帯サイト開発技法」の第9章に掲載されているサンプルコード（ファイル4/4）にはセッションIDの発行・管理に不備があるため、セッションハイジャックが可能です。 解説 この本の第9章には「携帯端末特化型セッション管理」と称していわゆる「かんたんログイン」の実装サンプルが掲載されています。第9章の冒頭部分から、その特長に関する記述を抜粋すると、 Cookieの代わりにリクエストヘッダからの情報を使ってセッション管理を行うという、携帯サイトならではのセッシ

[kiyo560808]

saltを使ってセッションIDが推測されないようにする。saltも単純な文字列ではダメ。

[saka39]

セッションIDを推測困難にする。

[himselfpro]

Ruby

[kgbu]

かんたんログイン絡みの話でもあり、自前実装がコストに見合うか、の話でもあり、考えさせられる。

[kei_tanaka_des]

「Ruby on Rails携帯サイト開発技法」第９章のサンプルに脆弱性

[pochi-p]

とても分かりやすい解説でした。

[ockeghem]

『契約者固有IDの利用の是非はさておき、今回指摘した脆弱性の根本的な問題点は、セッションIDとして容易に推測・再現可能な値を利用したという点にあります』