[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:40143] Re: CGI設置についてのご質問解決しました。

From: Tolu Kuliyama <tolu@xxxxxxxxxxxxxxxxx>
Subject: [debian-users:40143] Re: CGI設置についてのご質問解決しました。
Date: Thu, 8 Apr 2004 10:27:34 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-biglobe-sender: <tolu@xxxxxxxxxxxxxxxxx>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-users@debian.or.jp
X-spam-level:
X-spam-status: No, hits=-2.0 required=10.0 tests=HOT_NASTY,ISO2022JP_BODY,QUOTED_EMAIL_TEXT, SPAM_PHRASE_00_01 version=2.44
References: <20040407.133105.68079321.yoshfuji@xxxxxxxxxxxxxx> <20040407.192934.730551617.tolu@xxxxxxxxxxxxxxxxx> <20040407230415.ABDD.YSATOH@xxxxxxxxxxxx>
Message-id: <20040408.102729.730558521.tolu@xxxxxxxxxxxxxxxxx>
X-mail-count: 40143
X-mailer: Mew version 3.3 on XEmacs 21.4.14 (Reasonable Discussion)

joe です。

丁寧な文面でしたので、礼を失っすることのないように
ご返事を書くことにしました。

# でも、これで最後にしたいと思います。
# 今回もソーシャルではないと言い切れませんので。

From: 佐藤　義博 <ysatoh@xxxxxxxxxxxx>
Subject: [debian-users:40138] Re: CGI設置についてのご質問解決しま した。
Message-ID: <20040407230415.ABDD.YSATOH@xxxxxxxxxxxx>

> サーバ内に有効なセッションIDが存在していれば…
> http://www.example.com/sub.php?PHPSESSIONID=xxxxxxxx
> (xxxxxxxxは有効なセッションID)のようにすると入り口を飛ばして
> 入れてしまうし…。

テストしていないので、確かなことは言えないのですが、
PHPのセッションID は、パラメータでは渡せないはずです。
（.../foo.php?ID=xxx のように記述して渡すことができない）
従って、上記のようなことはできないように思います。

# でも、これからテストしてみます。
# 何かしら方法があるかもしれませんし。
# （無いとは言い切れない世界ですから）

> 先ほどの飛躍した部分は別として、入り口からの呼び出しだけって
> どうやって判断できるのでしょうか？PHPのセッションを使っても
> サーバ内に有効なセッションIDが存在していれば…
> http://www.example.com/sub.php?PHPSESSIONID=xxxxxxxx
> (xxxxxxxxは有効なセッションID)のようにすると入り口を飛ばして
> 入れてしまうし…。

サーバ内の有効なセッション ID は、ユーザ・エイジェントには
分からないようになっています（ユーザ・エイジェントには送信しない）。
もしも、クライアント側で分かったとしたら、intrusion されている状態です。
つまり、サーバがクラックされているというです。

このような状況では、セッション管理もパスワード管理も全て無効です。

> ※この場合だと入り口のチェックというよりセッションの有効性の
> チェックというべきかと。

う〜ん、なるほど。私は、この２つを同じこと（同時に処理されなければ
ならないこと）と考えて書いていました。

--
Tolu Kuliyama
mailto: tolu@xxxxxxxxxxxxxxxxx
PGP public-key : http://pgp.mit.edu/

References:
- [debian-users:40119] Re: CGI設置についてのご質問解決しました。
  - From: YOSHIFUJI Hideaki / 吉藤英明
- [debian-users:40124] Re: CGI設置についてのご質問解決しました。
  - From: Tolu Kuliyama
- [debian-users:40138] Re: CGI設置についてのご質問解決しました。
  - From: 佐藤　義博

Prev by Date: [debian-users:40142] Re: CGI設置についてのご質問解決しました。
Next by Date: [debian-users:40144] exim4 queue processing delay
Previous by thread: [debian-users:40142] Re: CGI設置についてのご質問解決しました。
Next by thread: [debian-users:40089] Re: CGI設置についてのご質問解決しました。
Index(es):
- Date
- Thread

[debian-users:40143] Re: CGI設置についてのご質問解決しま した。

[debian-users:40143] Re: CGI設置についてのご質問解決しました。