Katsunori IMAI
imai****@glatt*****
2004年 5月 13日 (木) 16:25:22 JST
今井です。こんにちは。 On Sat, 8 May 2004 13:23:08 +0900 "ChinaWeb.JP" <info****@china*****> wrote: > いつもお世話になっています。チャイナウェブです。 > > MS2では ログインしても URL にosCsidがつかないようですね。 > それなら、セッションハイジャック対策は必要ないでしょうか? 私の記事へのリプライになっていましたので、「故意にsidを 盗むことへも対応する場合」として書かせていただきますと、 URLにosCsidがつかないことは、残念ながらセッションハイジャッ ク対策の十分条件にはなりません。 MS2はみていませんので詳しくはわかりませんが、おそらく cookieを使用しているのではないでしょうか?その場合、以前 (ご参考)としてあげさせていただいた、 http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html や、そこからたどれる参考文献等にかかれている対策をしてい ないと駄目です。 もともと田村さんがかかれていた、 > a) BBSや検索サイトの検索結果に記録されたsidによって、 > 予期せずセッションハイジャックの状態になってしまっった。 への対応でしたら、URLにosCsidがつかなければ問題ないと思 います。
