[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:40133] Re: CGI設置についてのご質問解決しました。

From: Tietew <tietew@xxxxxxxxxx>
Subject: [debian-users:40133] Re: CGI設置についてのご質問解決しました。
Date: Wed, 7 Apr 2004 21:37:08 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-users@debian.or.jp
X-spam-level:
X-spam-status: No, hits=-4.0 required=10.0 tests=EMAIL_ATTRIBUTION,ISO2022JP_BODY,QUOTED_EMAIL_TEXT, SPAM_PHRASE_00_01 version=2.44
References: <20040407202417.ED9A.TIETEW@xxxxxxxxxx> <20040407.210157.88470874.kise@xxxxxxxxxxx>
Message-id: <20040407212235.EDA0.TIETEW@xxxxxxxxxx>
X-mail-count: 40133
X-mailer: Becky! ver. 2.08.01 [ja]

On Wed, 7 Apr 2004 21:02:00 +0900
In article <20040407.210157.88470874.kise@xxxxxxxxxxx>
[[debian-users:40129] Re: CGI設置についてのご質問解決しま した。]
KISE Hiroshi <kise@xxxxxxxxxxx> wrote:

> ウェブサーバが提供する認証(BASIC AUTHとか)の話だと思ってたんですが。

認証したって直接 URL 打てば実行できるので関係ないでしょう。

# というか直接起動されたからって何が問題なんでしょうね。
# それが問題になるような作りをしている方が問題だ。

> > PHP のセッションはクッキーを使わないのですか？
> > 若しくは，クッキーを詐称（詐証って何？）できる危険なセッション管
> > 理なのですか？
> 
> PHPのセッション管理はクッキーを使う方法と使わない方法があります。
> 使わないほうは…えっと、
> http://example.com/hogege.php?PHPSESSID=hogera
> ようにして渡すのでしたっけ。ここらへんはある程度自動的に

この形式は Referer によってセッションIDが漏洩し，セッションハイ
ジャックの恐れがあるので問題がありますね。
http://securit.gtrc.aist.go.jp/SecurIT/advisory/webmail-1/

携帯コンテンツ（特に DoCoMo) はクッキーが使えないので細心の注意
を払って URL 埋め込み型のセッション（or hidden&POST) を使う必要
がありますが……



—[ Tietew ]————————————————————————————
Mail: tietew@xxxxxxxxxx / tietew@xxxxxxxx
Web : http://www.tietew.net/     Tietew Windows Lab.
PGP fingerprint: 26CB 71BB B595 09C4 0153  81C4 773C 963A D51B 8CAA

Follow-Ups:
- [debian-users:40137] Re: CGI設置についてのご質問解決しました。
  - From: YOSHIFUJI Hideaki / 吉藤英明

References:
- [debian-users:40128] Re: CGI設置についてのご質問解決しました。
  - From: Tietew
- [debian-users:40129] Re: CGI設置についてのご質問解決しました。
  - From: KISE Hiroshi

Prev by Date: [debian-users:40132] Re: CGI設置についてのご質問解決しました。
Next by Date: [debian-users:40134] [Translate] [SECURITY] [DSA 478-1] New tcpdump packages fix denial of service
Previous by thread: [debian-users:40129] Re: CGI設置についてのご質問解決しました。
Next by thread: [debian-users:40137] Re: CGI設置についてのご質問解決しました。
Index(es):
- Date
- Thread

[debian-users:40133] Re: CGI設置についてのご質問解決しま した。

[debian-users:40133] Re: CGI設置についてのご質問解決しました。