http/SessionFixationについて、ここに記述してください。

とくまるひろしのSession Fixation攻撃入門

http://d.hatena.ne.jp/ockeghem/20090130/p1

'Cookie Monster bug' と呼ばれている cross cookie injection technique が使えるような状況も説明されている。

PHPの認証に問題があるような気がしているが、それは区別されていないらしい。

• よく調べてみなければ。

-- ToshinoriMaeno 2011-10-22 23:06:39

サイト側の対策(セッションIDの再発行)もあるが、利用者側の対策としてはログインする前にはCookieをクリアすること。

• 自動ログインなどを使っているとかなり危ないかも。-- ToshinoriMaeno 2011-10-23 01:24:16

http://kaede.to/~canada/doc/session-fixation-attack-against-strict-systems

サイト側で新規のセッションID(自分が発行したものでもないもの)を受け付けるなんて論外だと思う。

安全なwebアプリケーションの作り方といいながら、攻撃手法の説明が多くて、 安全に作る方法が「すっきり」書いてない。

著者も分かっていないのか、一般的には書けないのか。

本筋の対策だけにできないものか。

-- ToshinoriMaeno 2011-10-23 12:01:19