とみたです。

On Tue, 14 Dec 2004 06:42:15 +0900
yama / netlab.is.tsukuba.ac.jp (Daisuke Yamazaki) wrote:

> > > 攻撃者が自分で作ったIDか、新たにその場で発行されたIDかによらず、
> > > Webセッションの途中で有効なセッションIDを取得出来てしまうという点で
> > > 問題があります。
> > 
> > これがよく理解できてないです。「新たにその場で発行されたID」でもダメだ
> > というなら、「ブラウザからセッションIDが渡されない場合に新規セッション
> > を開始する」というのもダメだということですよね。

> 志村さんの発言はページA->Bという遷移があったとして
> ページBでのチェックがセッションIDが有効だったらOKと
> いう単純なものだった場合,ページBでのCGI::Session.newで
> 無効なSessionIDに対して新規に有効なセッションIDを発行
> しちゃうと今までのページ遷移を無視してることになるので
> まずいのでは?
> 
> という発言だと思います.

それは、ページBで本来 CGI::Session.new(cgi, "new_session"=>false) しな
いといけないのに、CGI::Session.new(cgi) してしまっているというのがまず
いということでは…。

無効なセッションIDが渡されたときに例外をあげるように変更しただけでは解
決しない問題だと思います。

-- 
とみたまさひろ <tommy / tmtm.org>