hamada
bungu****@leo*****
2007年 12月 14日 (金) 11:58:52 JST
こんにちわ。 On Tue, 11 Dec 2007 17:36:07 +0900 hamada <bungu****@leo*****> wrote: > でもまぁ、敷居を上げる事自体は可能な訳で。 書き忘れてましたんで、追記。セッションハイジャックを気にされる場合は、ま ずrc1のtep_session_start()に目を通しておいてください 手元のコードはだいぶ前に弄ってあったんであまり気にならなかったんですが、 たしかR8標準のtep_session_start()はすっげぇシンプルで、セッション固定攻 撃に対し“ほぼ無力”だったと思うので。 (たしか、session.referer_checkでしか対抗出来ない) http://tdiary.ishinao.net/20060825.html ↑こちらとかも参考にすると宜しいかと。 さらに厳密さを求めるなら、セッション変数にUAとかIPとか入れといて毎回比較 するとか。 はまだ
