■
■セッション固定
PHPとセッション固定に関する資料
目についたのでメモ
- 用語「セッション固定攻撃」@鳩丸ぐろっさり (用語集)
- 「ログイン前にセッションID発行再び」@水無月ばけらのえび日記
- 水無月ばけらのえび日記 : 「セッション固定攻撃の謎」
- Session Fixation(セッション固定) - PHP と Web アプリケーションのセキュリティについてのメモ
- PHPセキュリティ機能(PDF) - アシアル株式会社 The PHP Solution Provider
ログインした時点などの重要なタイミングでセッションIDの変更要。session_regenerate_id()関数がある。ログイン後に特に重要な処理(退会やページ削除編集など)でもセッションIDを振りなおしたほうが良いのかな?ログインする前からセッションIDを与えているのは何故だろう?
Session Fixation が成立するようなサイトは、php.ini で session.use_trans_sid を有効にしているか、定数の SID を使って、Cookie が使用できないブラウザでもセッションを継続できるようにしているのかもしれません。
Session Fixation(セッション固定) - PHP と Web アプリケーションのセキュリティについてのメモより
余談:cite属性の自動生成
はてなでは、編集時に手書きでblockquote要素にcite属性を付与するとダイアリが自動的にblockquote要素内にcite要素を付加します。cite要素の中にはa要素がはいっていてリンクとなります。
IEなどのメジャーなブラウザが全てcite属性をナビゲーションとして利用できるユーザインタフェースを持っていればこのような不可思議なcite要素の自動生成はしなくても良かったのになぁと思います。
私としては、blockquote要素の中にcite要素が生成されちゃうのがなにか気持ち悪いのです。なのでcite属性をblockquote要素に付加できないというやるせなさ。
かといってほとんどの場合cite要素を手書きで書いていないので文句も言えません。姿勢として不充分、不誠実なのですねぇ…ちなみに上はそれなりに書いてみた例です。スタイルシートの設定、特にテーマの場合、不満が出てくる人がいるかもしれません。私は全然平気ですが。cite要素をちょっと右詰めにしたいかなぁ程度。