Session管理してる？ (221ﾚｽ)

Session管理してる？ http://medaka.5ch.net/test/read.cgi/php/990627898/

上下前次1-新
通常表示 512ﾊﾞｲﾄ分割 ﾚｽ栞

---

37: 名無しさん＠おへそいっぱい。 [sage] 2001/06/24(日) 12:09 ID:??? URL Rewrite を忘れてる。<A HREF="/a/b/c;98A30x7"> みたい なの。現行のステートマネージメントは 　・Cookie の受け渡し 　・HIDDEN フィールド 　・URL Rewrite で行われている (Servet の話だけど)。 ちなみにセッション ID がランダムに振られるシステムは設計が おかしい。 http://medaka.5ch.net/test/read.cgi/php/990627898/37

38: 殿堂ナナシ [sage] 2001/06/24(日) 21:36 ID:??? 間違えた。。。 put は post です。。。 ・クッキー <- Cookie の受け渡し ・post リクエスト <- HIDDEN フィールド ・get リクエスト <- URL Rewrite 私の表現がおかしい〜？ URL Rewrite は クッキーが使えないときにAP サーバが セッションIDを URL に Rewrite するっていうものだよね。 最近、セキュリティ的に問題があるので使ってはいけないというのが 良く言われてるけど。 セッションIDがランダムに振られるのがおかしいというのはなぜ〜？ 最近はAPサーバにセッション管理が実装されてるから あまり意識してないもので。。。 一意性の問題？ http://medaka.5ch.net/test/read.cgi/php/990627898/38

39: 名無しさん＠おへそいっぱい。 [sage] 2001/06/25(月) 00:25 ID:??? そう、一意性の問題。普通はシーケンシャルに採番して一意性を 維持したままシャッフルすると思われる。ちょっと揚げ足を取っ てみただけ。 現行のステートマネージメントメカニズムは、どの方法も SSL と 組み合わせないとセキュリティ的に問題ありだね。というか そんなの Web の常識だったはずなのに、なぜ突然ひろみちゅが 騒ぎ始めたのか分からんよ。 URL Rewrite/HIDDEN フィールド 　ソースを見れば一目瞭然。URL 欄にも表示される。ジャンプ先 　サイトでは Referer ヘッダで参照可能 (ブラウザの種類と 　バージョンにもよる)。自サイトを SSL 化しても Referer 　ヘッダは漏れてしまうかも (なりすまし接続は無理だろうが)。 Cookie 　丸見えでない分 URL Rewrite/HIDDEN フィールドよりまし 　だが平文であることには変わりない。プロキシサーバなら 　余裕で盗める。期限付きのはファイルで残る。 # 昔、クライアント側の IP アドレスを使ってセッション ID # にハッシュかければセキュリティもバッチリでは? と発明 # しかけたが、程なくプロキシの存在を忘れているのに気づ # いた。 http://medaka.5ch.net/test/read.cgi/php/990627898/39

40: 名無しさん＠お腹いっぱい。 [AGE] 2001/06/25(月) 15:58 ID:??? >>30 クライアント側のクッキーにはIDのみで、 セッション情報はサーバ側に保存されるので セキュリティ的には問題ない と、どっかで読んだ覚えがあるんですが。 http://medaka.5ch.net/test/read.cgi/php/990627898/40

41: 40 [sage] 2001/06/25(月) 15:59 ID:??? >>30は>>39の間違いでした。 http://medaka.5ch.net/test/read.cgi/php/990627898/41

42: 名無しさん＠おへそいっぱい。 [mage] 2001/06/26(火) 10:43 ID:??? セッション ID を盗まれると言うことは、意味的にサーバサイドの セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは なく、どのような情報か想像しずらいという人間的な利点があるだけ。 ユーザ認証後のセッション ID を盗まれたら、アプリケーションを 乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL と併用せれ。 http://medaka.5ch.net/test/read.cgi/php/990627898/42

43: 名無しさん＠おへそいっぱい。 [mage] 2001/06/26(火) 10:45 ID:??? セッション ID を盗まれると言うことは、意味的にサーバサイドの セッション情報ごと盗まれるのと等しい。ただ、情報が丸見えでは なく、どのような情報か想像しずらいという人間的な利点があるだけ。 ユーザ認証後のセッション ID を盗まれたら、アプリケーションを 乗っ取られたのと事実上同じ。セキュリティを確保したければ SSL と併用せれ。 http://medaka.5ch.net/test/read.cgi/php/990627898/43

44: 名無しさん＠お腹いっぱい。 [sage] 2001/06/26(火) 15:40 ID:??? >43 ID+有効期限を暗号化して発行すれば、 多少マシになる。 http://medaka.5ch.net/test/read.cgi/php/990627898/44

45: 名無しさん＠おへそいっぱい。 [sage] 2001/06/26(火) 17:27 ID:??? >>44 その暗号化のキーは? http://medaka.5ch.net/test/read.cgi/php/990627898/45

46: 名無しさん＠おへそいっぱい。 [sage] 2001/06/26(火) 17:28 ID:??? >>44 その暗号化のキーは? http://medaka.5ch.net/test/read.cgi/php/990627898/46

47: 名無しさん＠お腹いっぱい。 [] 2001/06/26(火) 23:59 ID:DSIpbR1w >46 なんでもいいじゃない？ 暗号化も複合化もサーバーでやるんだから 実際にやってるけど、SIDとログインタイムをある形式にフォーマットして BASE64で暗号化して発行。クライアントから返されるSIDは形式のチェックで先ずはじく。 仮に、クッキー盗まれても有効期限内しか使えないし、 まあ、解読も可能だろうけど、一定期間でキーやアルゴリズム変えれば、 それなりに実用的だと思う。 なんか間違ってる？ http://medaka.5ch.net/test/read.cgi/php/990627898/47

48: 名無しさん＠お腹いっぱい。 [sage] 2001/06/27(水) 00:07 ID:??? Crypt::Blowfishで暗号化でした つくったのはおいらでないので間違ってるかも http://medaka.5ch.net/test/read.cgi/php/990627898/48

49: 名無しさん＠おへそいっぱい。 [] 2001/06/27(水) 00:52 ID:DNFpNq1I いくら強力な暗号化アルゴリズムを使っても、キーがサーバ側に あったら意味ないでしょ。盗んだ側にとっては ID が暗号化され ているかどうかなんて関係なく、盗んだ Cookie をそのまま送り 返せばよいのだから (だから >>39 でクライアント側の IP ア ドレスをキーにハッシュかけようとした)。 あ、俺が考えてるのは中継サーバ等で Cookie が盗まれた場合ね。 総当りでのセッション ID 盗難防止という話だったら暗号化だけで 効果は高い。んーでも総当りなんて目立つ方法で盗もうとする莫迦 いるか? だから、わざわざセッション ID を暗号化してもたいした 効果がないと思っただけ。 http://medaka.5ch.net/test/read.cgi/php/990627898/49

50: 名無しさん＠おへそいっぱい。 [sage] 2001/06/27(水) 01:02 ID:??? すまん、ハッシュではなく可逆符号化だ…。 http://medaka.5ch.net/test/read.cgi/php/990627898/50

51: 名無しさん＠お腹いっぱい。 [] 2001/06/27(水) 02:33 ID:IVYsrfFE 間にProxyが入ろうがどうしようが クライアント固有の識別ID(macアドレスとか)を 簡単に取れる手段があるといいんですがねえ。 プライバシー的には問題おおありですが。 そういうの、MSならやってくれ・・・ないか。さすがに。 http://medaka.5ch.net/test/read.cgi/php/990627898/51

52: 名無しさん＠お腹いっぱい。 [me] 2001/06/27(水) 16:30 ID:??? proxyの問題を考えなければ簡単なんだけどね＞セッションID盗難対策 503iのような、固体識別番号取得タグをどのブラウザも実装してくれれば 話は簡単だけれども。 確認が入るのでプライバシー的な問題も無いと思うし、MSさん実装して くれまいか。 http://medaka.5ch.net/test/read.cgi/php/990627898/52

53: 名無しさん＠お腹いっぱい。 [age] 2001/07/02(月) 04:53 ID:??? ＳＳＬ使え http://medaka.5ch.net/test/read.cgi/php/990627898/53

54: 名無しさん＠お腹いっぱい。 [] 2001/07/02(月) 21:19 ID:T7UPCPm6 だめ。SSLで守れたと思っちゃだめ。はー いま(さらながらに)騒がれてるやつあるよね。 あれは相当驚異だよ。たぶん完全に防げてるサイトなんて数えるほど。 http://medaka.5ch.net/test/read.cgi/php/990627898/54

55: 名無しさん＠お腹いっぱい。 [] 2001/07/02(月) 22:08 ID:pL9j.pM6 まじっすか? それって何? http://medaka.5ch.net/test/read.cgi/php/990627898/55

56: 名無しさん [sage] 2001/07/02(月) 22:14 ID:??? DoCoMoがNULLDOCOMOGW(だっけ?)を一般ユーザーに開放してくれればいいのに… http://medaka.5ch.net/test/read.cgi/php/990627898/56

57: 名無しさん＠お腹いっぱい。 [sage] 2001/07/02(月) 22:19 ID:??? >>55 おれは54じゃないけど クレジットカード情報がサーバ上ではまるみえで、 ブラウザのURL直打ちで見れちゃったというニュースなら読んだ。 http://hwj-www.hotwired.co.jp/news/news/business/story/20010625102.html http://medaka.5ch.net/test/read.cgi/php/990627898/57

58: 名無しさん＠お腹いっぱい。 [] 2001/07/03(火) 04:13 ID:PMTadY4o >>54 SSL とサイトへの侵入とがごっちゃになってないか? それとも SSL のポートを使って侵入 or 成りすましという話か? http://medaka.5ch.net/test/read.cgi/php/990627898/58

59: 名無しさん＠お腹いっぱい。 [sage] 2001/07/03(火) 09:04 ID:??? Cookieは楽々盗めるって話。進入は無関係だけど… http://medaka.5ch.net/test/read.cgi/php/990627898/59

60: 名無しさん＠お腹いっぱい。 [] 2001/07/03(火) 09:58 ID:.3Xwbm0A ソースはどこよ http://medaka.5ch.net/test/read.cgi/php/990627898/60

61: 名無しさん＠お腹いっぱい。 [sage] 2001/07/03(火) 11:25 ID:??? 言っちゃってもいいかどうか解らん。広めるならもっと思いっきり広めないとだし。 実は知ってる人にはあたり前のことではあるが、C****S***-S********のことです。 解っててもそうそう防ぎ切れないもんでおれも困ってるの。もうここまでにしとくね。 きっとしかるべき機関なり人がしかるべきところで注意喚起してくれることを期待して。 http://medaka.5ch.net/test/read.cgi/php/990627898/61

62: 名無しさん＠お腹いっぱい。 [sage] 2001/07/03(火) 11:47 ID:??? 被害立証できるんだったらオフラインでなんかすりゃいいじゃん。 http://medaka.5ch.net/test/read.cgi/php/990627898/62

63: 名無しさん＠おへそいっぱい。 [] 2001/07/03(火) 13:41 ID:EU3mmkbg SSL で Cookie 盗んで、なりすましまで出来るものですか? マジできたら今まで言ったこと撤回するわ。 http://medaka.5ch.net/test/read.cgi/php/990627898/63

64: 名無しさん＠お腹いっぱい。 [age] 2001/07/04(水) 15:40 ID:??? GETをはじく方法ってありますかね？ たとえばxxxx.php?id=123がありid部分を違う数字に 変えれば違う情報が表示されます。 直接入力された時は処理できないようにしたいのですが・・・。 http://medaka.5ch.net/test/read.cgi/php/990627898/64

65: 名無しさん＠お腹いっぱい。 [sage] 2001/07/04(水) 15:45 ID:??? 直接って事は自サイト等からリンクされてる場合は良いの？ http://medaka.5ch.net/test/read.cgi/php/990627898/65

66: 名無しさん＠お腹いっぱい。 [age] 2001/07/04(水) 16:23 ID:??? PHP4 のセッション変数って、オブジェクト（つまりクラスのインスタンス）は格納できるの？ http://medaka.5ch.net/test/read.cgi/php/990627898/66

---

ﾒﾓ帳

(0/65535文字)

---

上下前次1-新書関写板覧索設栞歴

---

あと 155 ﾚｽあります
ｽﾚ情報 赤ﾚｽ抽出 画像ﾚｽ抽出 歴の未読ｽﾚ

---

Google検索

Wikipedia

---

ぬこの手 ぬこTOP 0.008s