[2857] Re: URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) － REFERER情報流出によるセッションハイジャック攻撃の問題－

bakera.jp > 新生鳩丸掲示板♯ > [2857] Re: URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) － REFERER情報流出によるセッションハイジャック攻撃の問題－

記事個別表示 (2857)

[2857] Re: URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) － REFERER情報流出によるセッションハイジャック攻撃の問題－

えむけい (2005年4月22日 19時41分)

http://securit.gtrc.aist.go.jp/SecurIT/advisory/referer-2/

> https:// ページから http:// ページへのリンクでReferer:を送出しないことは、 RFCに定められてはおらず、

高木さんともあろうお方【誰】がRFC 2616(しかも「15 Security Considerations」)をご覧になっていないのでしょうか

http://www.ietf.org/rfc/rfc2616.txt

> Clients SHOULD NOT include a Referer header field in a (non-secure)

> HTTP request if the referring page was transferred with a secure

> protocol.

まあMUST NOTでない以上Webアプリケーションがブラウザの挙動をアテにしてはいけないという結論に変わりはないと思いますが。

全読: [2857]Re: URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) － REFERER情報流出によるセッションハイジャック攻撃の問題－からのスレッド(1件)]
- [2857] Re: URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) － REFERER情報流出によるセッションハイジャック攻撃の問題－ : えむけい (2005年4月22日 19時41分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >http://securit.gtrc.aist.go.jp/SecurIT/advisory/referer-2/ >> https:// ページから http:// ページへのリンクでReferer:を送出しないことは、 RFCに定められてはおらず、 >高木さんともあろうお方【誰】がRFC 2616(しかも「15 Security Considerations」)をご覧になっていないのでしょうか >http://www.ietf.org/rfc/rfc2616.txt >> Clients SHOULD NOT include a Referer header field in a (non-secure) >> HTTP request if the referring page was transferred with a secure >> protocol. >まあMUST NOTでない以上Webアプリケーションがブラウザの挙動をアテにしてはいけないという結論に変わりはないと思いますが。

新生鳩丸掲示板♯

記事個別表示 (2857)

[2857] Re: URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) － REFERER情報流出によるセッションハイジャック攻撃の問題 －

[2857] Re: URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) － REFERER情報流出によるセッションハイジャック攻撃の問題－