2005年04月06日(水) [長年日記]
- 復活した。
■ [web][security] 「URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2)」 (SecurIT)
SecurITで3年振りに脆弱性勧告が公開されていたのでなんとなくメモ。内容は目新しくはなく、URLにセッション情報を含めてはダメという話。2001年にまとめた内容をやっと公開したという感じ。
III-5. cookie拒否時のセッション管理方法の自動切り替えの問題
JavaやPHPなどによるWebアプリケーションサーバ製品(セッション管理機能を提供する)の一部では、ユーザがセッションIDのcookieの受け入れを拒否した場合に、自動的に、URLにセッションIDを含める方式に切り替えるものがある。この場合、cookieを拒否しているユーザは、Referer:によってセッションIDが漏えいする危険にさらされることになる。Webサイト構築者は、こうした機能が働かないよう設定した方がよい。
この仕様に対する対策は忘れやすいかも。
■ [java] Java Updateが動いた
タスクトレイに見慣れぬアイコンがあったので見てみたらJava Updateだった。使ってみようと思いアップデートを実行してみた。
なんかJREとして 1.5.0_02-b09 がインストールされたみたい。でもJDKの方は新しくなっていないみたい。JDKの方はアップデートできないんだろうか。
■ やること
- リンク元のスリム化
- tDiaryバージョンアップ
- FSWikiバージョンアップ
- オーブンレンジ用べんり棚
- ブラウンの安い電動歯ブラシ買う
- 蛍光灯を捨てる
[ツッコミを入れる]