PHP5.5.2以降のstrict sessionsモードでセッションフィクセイション対策はどうすればよいか | 徳丸浩の日記

2013/08/26 31 users 徳丸浩 strict sessions エントリ 大垣さん

2013年8月26日月曜日 PHP5.5.2以降のstrict sessionsモードでセッションフィクセイション対策はどうすればよいか 先日のエントリ『【速報】PHP-5.5.2にて大垣さんのstrict sessionsが実装されました』にて、PHP5.5.2でセッションアダプションが解消されたことを報告しました（session.use_strict_mode=1の場合）。 セッションアダプシ... 続きを読む

セッションアダプションがなくてもセッションフィクセイション攻撃は可能 - 徳丸浩のtumblr

2012/12/11 87 users tumblr 徳丸浩

大垣（@yohgaki）さんと、セッションアダプション脆弱性が「重大な脅威」か否かで論争を続けています。 大垣さん:第25回　PHPのアキレス腱 ── セッション管理 徳丸:PHPのSession Adoptionは重大な脅威ではない 大垣さん:PHPのセッションアダプション脆弱性は修正して当然の脆弱性 議論がかみ合わないので、twitterで「ブログ読みました。サンプルも動かしました。問題は分か... 続きを読む

PHPのセッションアダプション脆弱性克服への道のり

2011/12/05 48 users PHP 道のり コーディング エントリ セッション

PHP Advent Calender用のエントリです。 PHPのセッション管理は非常に簡単です。セッションをsession_start()で開始して$_SESSION配列を使うだけです。便利で簡単なセッションモジュールですがセッションアダプションに脆弱であるため、一般に言われてる「ログインする時にはsession_regenerate_id()を呼ぶ」コーディングではセッションアダプションに脆弱... 続きを読む