セッションアダプションがなくてもセッションフィクセイション攻撃は可能
大垣(@yohgaki)さんと、セッションアダプション脆弱性が「重大な脅威」か否かで論争を続けています。 大垣さん:第25回 PHPのアキレス腱 ── セッション管理徳丸:PHPのSession Adoptionは重大な脅威ではない大垣さん:PHPのセッションアダプション脆弱性は修正して当然の脆弱性議論がかみ合わないので、twitterで「ブログ読みました。サンプルも動かしました。問題は分かるのですが、セッションアダプションがないPHPだと、何が改善されるのかが分かりません。教えて下さい」とツイートしたところ、大垣さんがブログで返信下さいました。 大垣さん: セッションアダプション脆弱性がないセッション管理が必要な理由これを読んでかみ合わない理由が分かりました。大垣さん、ありがとうございます。以下大垣さんのブログの末尾を引用します。 脱線しましたが、何が改善されるのか?結論は ログイン時に
そのときStarBEDが動いた――「Hardening One」の夜明け前
こんにちは、川口です。ずいぶんとコラムの間が空いてしまいました。前回のコラム以降、セキュリティ・キャンプとHardening Oneにほぼ全ての時間を費やしており、全く筆が進みませんでした。期待されていた方には申し訳ないです。 さて、2012年4月のHardening Zeroからはや半年(もう半年!!)、10月27日と11月2日にHardening Oneが行われ、無事に終了しました。 前回のイベントが終わった直後には、「次回のイベント(Hardening One)は、今回のやつをちょっといじって開催すればいいかな」と安易に考えていました。しかし、Hardening Zeroのゲストとして参加していただいた篠田陽一教授から、「同じものを流用なんて、ナメたことを妄想してんじゃねーよ!!」(過大表現アリ)と激励されてしまい、今回もまた大掛かりに取り組んでHardening Oneを開催しまし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
