アカウント名:
パスワード:
1.攻撃者がシステムにアクセスし、セッション ID を取得する。ログインしていないがセッション ID は発行される。2.攻撃者は、正規ユーザがそのセッション ID を使ってログインするように仕向ける3.正規ユーザがそのセッション ID でログインすると、そのセッションは「ログイン済み」となる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
Session Fixationってなに? (スコア:2, すばらしい洞察)
というわけでリンク
用語「セッション固定攻撃」 [bakera.jp]
Re:Session Fixationってなに? (スコア:2, 参考になる)
これって、「ログインする前にセッションIDを発行する」事が脆弱性なんじゃなくて、「2」が可能になる仕組みが脆弱性なのでは?
セッションIDを先に発行していても、「2」が出来なければ問題ない訳ですよね。
それとも、「2」の手法に関しては、周知の防ぎようの無い手段で可能なのかな?
Re:Session Fixationってなに? (スコア:0)
そうです。Firefox使いはアウトです。
IE を使いましょう。