[PHP-users 12001] Re: 「他人の情報を表示するサイト」

[TAMURA Toshihiko]

田村です。

Yasuo Ohgaki <yohgaki@ohgaki.net> wrote:

> > それとは違いますが、私が聞いた事例では、
> > セッションIDはユニークなんだけれども、
> > ある人のセッション変数に、同時にアクセスしていた他人のセッション変数
> > (ユーザID)が入っていたというような現象があったそうです。
> 
> 多分、セキュリティー上のリスクを認識せずにtrans sidを利用されて
> いたのでしょう。

これは、以前に大垣さんが
[PHP-users 8789] Re: セッションID   とセッションの安全性について
で次のように書かれていた、セッションIDの盗用のことですね。

> 盗める時は、簡単に盗めます。
> 
> trans sidが有効な場合、サーバーのセッションの有効期間が長
> 過ぎて友人にSID付きのURLを送ってしまう。
> 
> 共用コンピュータを使っている場合にtrans SIDが有効になってい
> てセッション有効期限が切れる前に、他ユーザーが使ってしまう。
> SSL無しの場合、隣のデスクの同僚のセッションIDは簡単に盗める
> 場合が多いでしょう。
> （SW HUBがあるとそうも行きませんが、ない環境も沢山あるはず）
> 
> Cross Site Scriptingが可能であれば、いくらでも盗めます。
> （ただし、盗みたいユーザーを自分のサイトなどに誘導する必要
> がありますが）
> 
> これもアプリケーションで簡単に対策がとれるのですが、力業によ
> る攻撃はいつでも可能です。

確かに、「友人にSID付きのURLを送ってしまう」というのは、
大いにありそうなことですね。
それ以外の方法は、(特別な環境にいなければ)
簡単にできる攻撃ではなさそうですが。