セッション
セッション漏洩の原因
クッキー発行に脆弱性
ネットワーク敵にセッショIDが盗聴
xssで漏洩
プラットフォーム脆弱性
urlに保持の場合refererヘッダから漏洩
クッキーの属性チェック
重要な処理の前にパスワード認証する
セッション乗っ取られたとき、の保険、
・パスワード変更時に、パスワード再認証無いとパスワードまで知られてしまう。(今のパスワード)
php5ではsessionIDは推測可能
php.iniでは安全な乱数をもとにセッションidを生成するようデフォルトになっている
hash_equals関数
php.ini
allow_url_include =off
クッキーセキュア属性を付けトークンにより安全性が確保できる理由
トークンは認証成功時に一度だけサーバーで生成
トークンはhttps上
httpsのページ閲覧するにはトークン必須
セッション管理