ログイン前にセッション ID を発行するシステム
2004年10月22日(金曜日)
ログイン前にセッション ID を発行するシステム
かつて、ログインする前にセッション ID を発行するシステムが存在していたという噂は聞いていたのですが……。
Session Fixationが公表されたとき、まさかこんな動作をするアプリケーションはないだろうと思っていたのだが、その後診断を行ったいくつかのサイトでこの問題が見つかった。このような動作をする理由がいまいち把握しきれていないのだが、これは明らかにアプリケーションの問題だろう。
さて、私の目の前にはとあるログインフォームがあって、ログインしていない状態です。ソースを見ると、フォームには PHPSESSID という名前の hidden パラメータが含まれていて、めちゃくちゃセッション ID っぽい雰囲気を醸し出しています。しかもこれ、アクセスするたびにランダムに変化しています。どう見てもログイン前にセッション ID を発行しているようにしか見えないのですけれど……。
このシステムはモロに個人情報を扱いますし、非常に嫌な予感がします。杞憂なら良いのですけれども。
- 「ログイン前にセッション ID を発行するシステム」にコメントを書く
- 前(古い): 知らないファイルに FTP でアクセス?
- 次(新しい): FTTH がもう少し安くならないかなぁと
