眠る開発屋blog ある開発屋の雑感。日々勉強。

2008/11/5 水曜日

携帯のセッションハイジャックとか

Filed under: 技術メモ — タグ: , — dev0000 @ 2:24:07

携帯サイトでセッションIDをURLで引き回す構成だと、
リファラからURLが漏洩して、それがセッションハイジャックのネタになるってのがあったりします。
セッション機能を利用する携帯サイトでSSLも使っている場合、
他サイトの画像(広告とか)を掲載しなければならないときって一体どうしてるんだろ。

http://q.hatena.ne.jp/1106292147
http://ke-tai.org/blog/2007/12/12/php_session_new/
http://ueblog.natural-wave.com/2008/04/20/mobile-id/
http://d.hatena.ne.jp/m_norii/20080806/1218032059
http://d.hatena.ne.jp/maru_cc/20080512/au_ssl_cookie
http://d.hatena.ne.jp/mizincogrammer/20080630/p1

DoCoMoはリファラ送らないからまぁヨシとして、
auとsoftbankってcookieを使う・・・なんか挙動がすごく怪しそう。
「セッションに端末IDを食わせてチェックする」+ 「IP制限」が現実的な解なのかな。。。

あと session_regenerate_id。
ただ、URLにセッションID付加の場合、「戻る」ボタンが効かなくなるんだよね。

そもそも画像自体を自サイトで持つという手があるのだけど。

Powered by WordPress