鳩丸ぐろっさり (用語集)

bakera.jp > 鳩丸ぐろっさり (用語集) > session adoption

用語「session adoption」について

session adoption (せっしょんあどぷしょん)

話題 : セキュリティ

"adopt" は受け入れる、取り込むというような意味です。session adoption とは、自分部発行したものでないセッションIDを受け入れ、そのIDを使用してセッションを開始してしまうことを指します。

特にPHPでは、URLに ?PHPSESSID=xxxxxxxx のようなクエリをつけたリクエストを受けると、そこで指定されたIDを使用してセッションを開始してしまう場合があります。このような挙動はセッション固定攻撃を容易にしてしまうことがあり、望ましくありません。

※なお、PHPの設定で session.use_only_cookies を有効にすれば、URLにつけられたセッションIDは無視されるようになります。

URLのクエリで指定されるのではないパターンもあります。たとえば、Cookie Monsterの問題を利用して Cookie にセッションIDを指定された時、そのセッションIDが未知のものであっても受け入れてしまい、そのIDでセッションを開始してしまうケースがあります。このようなケースも「session adoption」と呼ばれる場合があります。

「session adoption」に関連する用語

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト