hamada
bungu****@leo*****
2007年 12月 11日 (火) 12:42:52 JST
こんにちわ。 On Tue, 11 Dec 2007 11:54:59 +0900 "Kenji Okobira" <okobi****@thecl*****> wrote: > 上記移植しても確かに消えました。 全てを追いきった訳ではありませんが、単純にココを移植しただけでは正常動作 しない可能性が高いと思われます。ちゃんとapplication_top.phpとかも確認さ れてますでしょか? 両者のコード内容を理解したうえで再検討される事をお勧めします。 ちうか、$sidと$_sidとか、ちゃんと直してますよね?!(^^;; > 今回、セッションハイジャックされるよりはそちらのほうがマシでると判断して今回の回収を行っています。 > 個人情報が流れるよりも見れないよ!って文句を言われるほうがまだいいかと思いますので・・・ ? セッションが繋がらなくても見れますけど?? ただ「クリックする度に新 しいセッションが始まる」だけ。 それに、セッションをハイジャック出来ても、実際に個人情報を見るのは、タイ ミングとか結構難しいような。 セッションの有効期限(標準で24分…だったかな?)内限定だし、取ったセッ ションの元持ち主が先にログインしてくれてないとダメ。そして、これで取れる 情報は一人分だけ。 検索エンジンにosCsid付でインデックスされてても、セッションの再生成が有効 ならログイン時にsidは変わってる→そこまでに神経質に対策しなきゃいけない もんなんでしょかねぇ? 勿論、「session.use_only_cookies有効のほうがセキュアだ」ということに異論 を唱えるつもりは毛頭ありませんけど。 はまだ
