セッション固定攻撃

IEやMozillaなどにセキュリティ・ホール，なりすましを許す可能性あり (itpro.nikkeibp.co.jp)……って非常に興味深い話ですね。Session Fixation (セッション固定) というのは知りませんでした。

当然、某所ではこれが楽勝でできるので再びピンチ。

そして、以前検証用に作成した「Cookie 操作装置」という CGI が攻撃に使用できる可能性があることが分かったので、とりあえず動作しないようにパーミッションを落としておきました。