CGI::Sessionモジュール - ×××Diaryひとまず、いろいろめもめも。 セッション管理といえば、一度ログインした後セッションが有効な 間ログイン状態でサイトを利用できるっていうあれですね。 セキュリティ関係でよく話題に上るとこなんで まずはセキュリティ絡みのメモからかな。 #セッションハイジャック! 他人のセッションをのっとることですね。 実際にどのくらいの確立で巻き込まれるかはさておき ソーシャルハックだったり、パケット盗聴だったり 類推できる簡単なIDだったり、IDが短いが為に総当り攻撃されたり クロスサイトスクリプトだったりしてセッションを盗まれ しれっと、その人になりすまされちゃうよ。 だから、気をつけないとねってお話。 参考→Webアプリケーションに潜むセキュリティホール もろもろのセキュリティホールを考慮した場合 ログイン後にセッションを発行することと 同一IPアドレスの時のみセッションを有効としておけば たいていのセ
