https://github.com/nekoatcafe/wiki/wiki
Plack::Middleware::Session で Session Fixation 対策 - punitan (a.k.a. punytan) のメモ
Session Fixation XSS や事前に取得したセッションを利用者に送り込んで権限を昇格させる類の攻撃で、セッションIDをクエリに含ませたり、シーケンシャルなセッションIDを用いるような愚かなことをしなければ基本的に問題はないものの、 Session Fixation への根本的な対策として、ログイン成功後にこれまでのセッションを破棄し、新しいセッションを発行することが望ましい。 Session Fixation について詳しいことは IPA の出している『安全なウェブサイトの作り方(pdf)』改定第4版 p.15 から p.20 に説明があります。 0.13 今まで P::M::Session ではログイン成功後に新しくセッションを開始するのにちょっとした細工が必要でしたが、 0.13 からは古いセッションの破棄とあたらしいセッションの発行を、 $request->env->{
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Plack::Session::Store::DBI