[PHP-users 16130]Re: セションＩＤの受け渡しについて

2003年 6月 23日 (月) 11:47:13 JST

杉本＠ＦＫＣと申します。

From: "KiyohitoTanaka" <tanaka-tec ＠ masecon.co.jp>
Subject: [PHP-users 16123] Re: セションＩＤの受け渡しについて
Date: Mon, 23 Jun 2003 09:16:44 +0900
Message-ID: <OJEEKIJNKMMGJJOEDNICEEINEBAA.tanaka-tec ＠ masecon.co.jp>

...(snip)...

> セッションIDをアドレスバーにということですが、
> セキュリティの観点からすると、そのIDは伏せておきたい
> のではないのでしょうか？
> だからこそ桁数の多い暗号的なIDを発行しているのではと考えます。
> それを敢えて明示的に表示するのは危険ではないでしょうか？

これに関しては、

http://java-house.jp/~takagi/paper/iw2002-jnsa-takagi-dist.pdf

を読むといいと思います。


> 上級者の方、セキュアなサイトの構築に特効薬はないものでしょうか？

上級者じゃないですが、特効薬は無いですが、

OWASP (The Open Web Application Security Project)
URI: http://www.owasp.org/guide/
----------------------------- >8 --------------------------------------
The "OWASP Guide to Building Secure Web Applications and Web Services" has been downloaded 
over 500,000 times in the last 3 months. At 60 pages it not always light reading but is a 
practical approach to building applications and covers a wealth of content from defining your security 
needs to avoiding common security problems like Cross Site Scripting and SQL Injection.
----------------------------- >8 --------------------------------------

など参考になるのではないでしょうか？


あと、XSSを防ぐなら、

http://sourceforge.net/projects/kses

なんてものも役に立ちそうです。

-- 
pub  1024D/2A033D86 2000-12-26 Mitsushi SUGIMOTO (moto) <moto ＠ fkc.fujitsu.com>
     Key fingerprint = D7ED 4844 BDE7 4C24 1FD0  A129 797B 080D 2A03 3D86
sub  2048g/2E208F6A 2000-12-26