Kazuho@Cybozu Labs: Re: 攻撃してください→はてな認証の仮想セッション« はてな認証 API への攻撃シナリオ | メイン | はてな認証 API の改善案 » 2006年05月11日 Re: 攻撃してください→はてな認証の仮想セッション 先のエントリについて、tociyuki さんが、「セッションを開始しておけば、第三者にそのセッション ID が漏れない限りハイジャックするのは難しいのでは?」ということで、 セッションを作るときは下のようにするのが通常のやりかたです。これに対して「攻撃者がステップ 10 および 11 から cert のみを取得でき、被攻撃者のクッキーを読めない」という前提で、攻撃のシナリオはどうしたら良いのでしょうか? 攻撃者と被攻撃者のクッキーのセッション ID は異なるとします。 (攻撃してください→はてな認証の仮想セッション) というエントリを書いていらっしゃいます。 そもそも、tociyuki さんが書いてらっしゃるような対策コー
