[PHP-users 3846] Re: NUKE

[Yasuo Ohgaki]

tadashi nagao wrote:

> 長尾です。
> 
> http://www.securityfocus.com/cgi-bin/vulns-item.pl?section=discussion&id=3567
> 
> これは、おいおいですね。


確かにこれは非常に良くない(絶対してはいけない事)ですね。
Nukeも気が向いたら、試してみようと思っていましたがソースコードを良
く読む必要がありそうですね。

> PHPLIB みたいに、ランダムに近いトークン発行して、データベースで付け合
> せしたりしないとまずいのではないでしょうか？

当然と思います。
セッションIDは完全にランダムな文字列で構わないので、/dev/urandom等
とハッシュ関数を利用するべきと思います。

--
Yasuo Ohgaki

__________________________________________________
Do You Yahoo!?
Yahoo! BB is Broadband by Yahoo!  http://bb.yahoo.co.jp/