Session管理してる? (221レス)
Session管理してる? http://medaka.5ch.net/test/read.cgi/php/990627898/
上
下
前次
1-
新
通常表示
512バイト分割
レス栞
抽出解除
レス栞
リロード規制
です。10分ほどで解除するので、
他のブラウザ
へ避難してください。
39: 名無しさん@おへそいっぱい。 [sage] 2001/06/25(月) 00:25 ID:??? そう、一意性の問題。普通はシーケンシャルに採番して一意性を 維持したままシャッフルすると思われる。ちょっと揚げ足を取っ てみただけ。 現行のステートマネージメントメカニズムは、どの方法も SSL と 組み合わせないとセキュリティ的に問題ありだね。というか そんなの Web の常識だったはずなのに、なぜ突然ひろみちゅが 騒ぎ始めたのか分からんよ。 URL Rewrite/HIDDEN フィールド ソースを見れば一目瞭然。URL 欄にも表示される。ジャンプ先 サイトでは Referer ヘッダで参照可能 (ブラウザの種類と バージョンにもよる)。自サイトを SSL 化しても Referer ヘッダは漏れてしまうかも (なりすまし接続は無理だろうが)。 Cookie 丸見えでない分 URL Rewrite/HIDDEN フィールドよりまし だが平文であることには変わりない。プロキシサーバなら 余裕で盗める。期限付きのはファイルで残る。 # 昔、クライアント側の IP アドレスを使ってセッション ID # にハッシュかければセキュリティもバッチリでは? と発明 # しかけたが、程なくプロキシの存在を忘れているのに気づ # いた。 http://medaka.5ch.net/test/read.cgi/php/990627898/39
41: 40 [sage] 2001/06/25(月) 15:59 ID:??? >>30は>>39の間違いでした。 http://medaka.5ch.net/test/read.cgi/php/990627898/41
49: 名無しさん@おへそいっぱい。 [] 2001/06/27(水) 00:52 ID:DNFpNq1I いくら強力な暗号化アルゴリズムを使っても、キーがサーバ側に あったら意味ないでしょ。盗んだ側にとっては ID が暗号化され ているかどうかなんて関係なく、盗んだ Cookie をそのまま送り 返せばよいのだから (だから >>39 でクライアント側の IP ア ドレスをキーにハッシュかけようとした)。 あ、俺が考えてるのは中継サーバ等で Cookie が盗まれた場合ね。 総当りでのセッション ID 盗難防止という話だったら暗号化だけで 効果は高い。んーでも総当りなんて目立つ方法で盗もうとする莫迦 いるか? だから、わざわざセッション ID を暗号化してもたいした 効果がないと思っただけ。 http://medaka.5ch.net/test/read.cgi/php/990627898/49
メモ帳
(0/65535文字)
上
下
前次
1-
新
書
関
写
板
覧
索
設
栞
歴
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.021s