cookie をつかったSession Fixation Attack対策
NasuaはRuby on Railsで作ったメモ帳WEBアプリです。って今ではすっかりRailsな話題を取り上げるだけとなってしまいました。。 Ruby On Rails ではログイン前もログインの後も同じセッションCookieを使用するためセッション固定攻撃に対する脆弱性があります。 以前の記事ではログインの後にセッションをリセットする方法で実装を行ってみましたが、試してみたところflashにセットした値が取得できないという不具合がありました。例えば、次のコードでは"logged out !"とい文字列がViewで表示されません。(たぶん使い方が悪いのでしょうが。。) def logout reset_session flash[:notice] = "logged out !" redirect_to(:action => "login_form") end そこで、自前でcooki
Cookie Monster襲来! 戦え、星野君
Cookieにはdomain属性が付きものだ 取りあえずの処置はできたが、同じ現象がまたすぐに起こらないとも限らない。星野君はCookieが2つ送信されていた原因を探ってみることにした。 しかし、自席に戻ってWeb管理ツールにアクセスしてみても、やっぱりCGISESSIDのCookieは1つしかない。新しくSet-Cookieされたら、当然新たなCookieが上書きされる。 星野君 「おかしいなぁ……」 そう星野君がつぶやくと、高橋さんが話し掛けてきた。 高橋さん 「どうしたの?何か悩んでるみたいだねぇ」 星野君 「町田さんにWeb管理ツールにログインできなくなったっていわれて見に行ったんですけど……。Cookieがなんか変なふうになってたんですよね」 高橋さん 「変なふうってどういうこと?」 星野君 「えっとですね……」 星野君は「malicious_cookie」という値のCookie
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
