まつもと ゆきひろです

In message "Re: [ruby-list:40438] Re: cgi/session.rb  のセッションIDとファイル名の作り方"
    on Fri, 17 Dec 2004 15:42:46 +0900, とみたまさひろ <tommy / tmtm.org> writes:

|> 「十分に安全か」というのが問いだと思いますが、「おそらく」と
|> いうのが私の答えです。いや、実際検証したわけではないんですが。
|
|わざわざ半分にしている意図はなんだったんでしょうか。

わすれちゃいました。すいません。
たしか参考にしたコードがそうしてたような気がするのですが、で
も、PerlのCGI::Sessionは半分にしてないみたいですね。

|セッションIDを作るための元々の値からすると、情報量が 1/4 になっている
|ような気がして、重複する可能性が高くなってるような気がしたのですが、杞
|憂でしょうか。

空間の大きさはめちゃめちゃ小さくなってますね。
セッションIDの方は半分にしないってのも手かもしれませんね。
互換性の問題は少なそうだし。

|すいません、prefix のデフォルトが '' であることに、セキュリティ的な問
|題があるというのが良くわかってないです。どっかで議論されてましたでしょ
|うか。

個人的なメールのやりとりが行われました。結局はprefixがないと
tmpdirのファイルが狙い撃ちされる危険性があるのではということ
でした。以前は外側から任意のセッションIDを注入できましたし。
でも、考えてみたらセッションデータのファイル名を生成する時に
もう一段MD5をかけているので心配する必要はなかったかもしれま
せんね。