hdknr’s posterous

 
Tags


Filed under

session

 
October 16, 2009

宮城・仙台のWEBシステム研究会 「アイ・ドリーム」 » [CakePHP+PHP] Cookieが使えない携帯端末でSessionを機能させる方法

すべてのURLにセッションIDをつけるのは手間がかかるので、
PHPのconfigureのときに、「–enable-track-sid」オプションを付けてmakeする。
または、php.iniのsession.use_trans_sidを1に設定する。
そうすることで、セッションIDを埋め込む必要がなくなる。
フォームでもhiddenタグが追加される。
via blog.ai-dream.com

session.use_trans_sid

Filed under  //   DoCoMo   PHP   Session  

Comments [0]

October 16, 2009

ドコモさん,iモードでCookieをサポートしませんか? - 記者の眼:ITpro

 これだけ書くと,URLでセッションを管理するiモードは常に危険なように思えるが,実際はそれほどでもない。まずiモードは,ほかのWebサイトにリンク元情報を送らない。記者がNTTドコモに問い合わせたところ,仕様でそう決まっているとの回答だった。また,携帯電話網は,標準URLを含めてパケットをまるごと暗号化しているため,盗聴を試みても解読できないことになっている。少なくとも公式サイトの運営者は,iモード・ゲートウエイとWebサイトの間を専用線で接続すれば,URLをセッション管理に使っても安全は確保できる。
via itpro.nikkeibp.co.jp

Filed under  //   Cookie   DoCoMo   Session  

Comments [0]

June 15, 2009

wincent.com: Clearing out old Rails session records from a MySQL database

So the moral of the story is, clear your sessions table early and often, before it gets too large to efficiently prune.

via wincent.com

sessionsはマメに片付ける。

Filed under  //   rails   Session  

Comments [0]

June 15, 2009

wincent.com: Clearing out old Rails session records from a MySQL database

Manually clearing

Something like this should do the trick:

DELETE FROM sessions WHERE updated_at < STR_TO_DATE('20.08.2008',GET_FORMAT(DATE,'EUR'));

Or making the hard-coded cut-off date a little more dynamic (deleting sessions not updated in the last 30 days):

DELETE FROM sessions WHERE updated_at < DATE_SUB(CURDATE(), INTERVAL 30 DAY);

You can also use the Rails-provided rake db:sessions:clear task, which essentially boils down to:

DELETE FROM sessions;
via wincent.com

Filed under  //   rails   Session  

Comments [0]

June 10, 2009

Hueniverse: Explaining the OAuth Session Fixation Attack

via hueniverse.com

Filed under  //   Fixation   OAuth   Security   Session  

Comments [0]

June 10, 2009

OAuthに脆弱性、TwitterやYahoo!がAPIを停止 - @IT

 今回発見された脆弱性は、次の通り。攻撃者はまず一般ユーザーとして当該サービスにログイン。続いてOAuthによる認可を行うが、通常の流れと異なるのは、リクエスト・トークンとして発行されたURIを保存し、これをターゲットとなるユーザーにクリックさせるようにし向けるところだ。何らかの理由でURIをクリックしたターゲットユーザーは、正規のサービスへリダイレクトされ、データアクセスの許可を求められる。ここでターゲットのユーザーがもしOKボタンを押してしまうと、攻撃者はリクエスト・トークンを使ってOAuthの認可のプロセスを完了できてしまうという。
via atmarkit.co.jp

Filed under  //   Fixation   OAuth   Security   Session  

Comments [0]

June 10, 2009

OAuthのセッション固定攻撃について(翻訳) - ものがたり

これらの3つのステップを結びつける唯一の要素は、承認URIとコールバックURIにおけるリクエストトークンだ。どちらについても、その呼び出しは署名されているものではなく、簡単に推測できるものだ。問題は、コンシューマに対してもプロバイダに対しても、これらの3つのステップが同一のユーザによって行われているという保証が無い、ということだ。アプリケーションは、クッキーや他のセッション管理ツールによって、最初のステップと最後のステップが同一のユーザによって行われていることを確認できるが、真ん中のステップが、最初または最後のステップと同一のものであるかどうかは確認できない。
via d.hatena.ne.jp

Filed under  //   Fixation   OAuth   Security   Session  

Comments [0]

June 10, 2009

Session fixation - Wikipedia, the free encyclopedia

In computer network security, session fixation attacks attempt to exploit the vulnerability of a system which allows one person to fixate (set) another person's session identifier (SID). Most session fixation attacks are web based, and most rely on session identifiers being accepted from URLs (query string) or POST data.
via en.wikipedia.org

セッション固定攻撃。
ある人が他人のセッションIDを固定(set)できてしまう。

Filed under  //   Fixation   Security   Session  

Comments [0]