Katsunori IMAI
imai****@glatt*****
2004年 5月 19日 (水) 18:31:23 JST
今井です。こんにちは。
別スレッドで話がでてた、zen-cartをインストールして試して
いたら、zen-cartはセッションハイジャック対策がしてありま
した。
ならば、MS2も対策済みではないかと思って、MS2をインストー
ルしてみると、MS2も対策済みのようでした。
Administrationの、[Configuration]-[Sessions] に、
[Check SSL Session ID] という項目あり、関連するコードを
眺めると、対策済みのようです。
しかし、上記項目をTrue にして試してみても、ハイジャック
できてしまいました。
もう一度、コードをみてみると、バグ(後述)があり、修正す
るとハイジャックできなくなりました。(簡単に試しただけで
すが。)
以上、ご参考まで。
$ diff -c application_top.php.org application_top.php
*** application_top.php.org 2003-07-12 18:38:07.000000000 +0900
--- application_top.php 2004-05-19 17:11:46.000000000 +0900
***************
*** 202,208 ****
// verify the ssl_session_id if the feature is enabled
if ( ($request_type == 'SSL') && (SESSION_CHECK_SSL_SESSION_ID == 'True') &&
(ENABLE_SSL == true) && ($session_started == true) ) {
$ssl_session_id = getenv('SSL_SESSION_ID');
! if (!tep_session_is_registered('SSL_SESSION_ID')) {
$SESSION_SSL_ID = $ssl_session_id;
tep_session_register('SESSION_SSL_ID');
}
--- 202,208 ----
// verify the ssl_session_id if the feature is enabled
if ( ($request_type == 'SSL') && (SESSION_CHECK_SSL_SESSION_ID == 'True') &&
(ENABLE_SSL == true) && ($session_started == true) ) {
$ssl_session_id = getenv('SSL_SESSION_ID');
! if (!tep_session_is_registered('SESSION_SSL_ID')) {
$SESSION_SSL_ID = $ssl_session_id;
tep_session_register('SESSION_SSL_ID');
}