PHPのセッション管理機構がけっこう杜撰なのはよく言われている話ですが、あんまり知名度が高くないんですよね。
ええ、今日見つけたんです。それも、けっこう有名な方のコードで。
すぐご本人に報告してPull Requestしましたので現在は修正されています。
世の中、PHPでセッション使ったプログラム作る人多いと思いますが、注意しましょう。
Session Fixation攻撃については徳丸さんのブログとか参考にしましょう。
今回は技術書にも載ってるサンプルコードでしたので、あんまり認知されてないんだなぁと。
そんなわけで対策コード。ほんとに短くて済みます
ええ、今日見つけたんです。それも、けっこう有名な方のコードで。
すぐご本人に報告してPull Requestしましたので現在は修正されています。
世の中、PHPでセッション使ったプログラム作る人多いと思いますが、注意しましょう。
Session Fixation攻撃については徳丸さんのブログとか参考にしましょう。
今回は技術書にも載ってるサンプルコードでしたので、あんまり認知されてないんだなぁと。
そんなわけで対策コード。ほんとに短くて済みます
session_start();
if ( ! isset( $_SESSION['initiated'] ) ) {
session_regenerate_id();
$_SESSION['initiated'] = true;
}
みなさんもSession Fixationにはお気をつけて!/* ---- チラシの裏 ---- */
しかしバグ報告とか生まれて初めてだったので緊張しました。
pull requestも初めてでしたし。
おかげでシューカツで話すことできましたけどねw
そんでもって冬コミちょっとだけ宣伝。
三日目東W-59b “Heroic Heretics”でグラフィックデザイン全般やってます。
ぐわんげライクなSTGなので皆様奮ってお越しください。
ぼくはおそらく居ないと思いますが。
しかしバグ報告とか生まれて初めてだったので緊張しました。
pull requestも初めてでしたし。
おかげでシューカツで話すことできましたけどねw
そんでもって冬コミちょっとだけ宣伝。
三日目東W-59b “Heroic Heretics”でグラフィックデザイン全般やってます。
ぐわんげライクなSTGなので皆様奮ってお越しください。
ぼくはおそらく居ないと思いますが。
