[PHP-users 19253]Re: SESSION_IDについて
SAWADA Hodaka
hoda @ tail.gr.jp
2003年 12月 8日 (月) 10:07:28 JST
At Sun, 07 Dec 2003 09:04:53 +0900,
大道 裕 wrote:
> たまたまIEで確認したらセッションIDが勝手に書き込まれて
> いたのでびっくりしたのですが、Cookieの関係とわかり納得しま
> した。これが表示されること自体はセキュリティ上問題はないと
> いうことですね。
http://www.ipa.go.jp/security/awareness/vendor/programming/a01_04.html
これをしっかり読んでください。
http://securit.gtrc.aist.go.jp/SecurIT/advisory/webmail-1/notice-1.html
あと、これも。
http referer から漏れる場合は非常に危険です。
某巨大掲示板のように、外部の URI に飛ぶときは、
session ID を削ぎ落す踏み台ページを経由する必要があります。
--
=^^= HODA =^^= http://www.tail.gr.jp/~hoda/
澤田保隆@しっぽアルゴリズム情報研究所 mailto:hoda @ tail.gr.jp
PHP-users メーリングリストの案内