のくす牧場
コンテンツ
牧場内検索
カウンタ
総計:126,369,198人
昨日:no data人
今日:
最近の注目
人気の最安値情報

    元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 115

    php覧 / PC版 /
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitter

    901 = :

    何で効果があるのか教えてくれ

    902 = :

    >>890
    一行読んで、\tで分けて、二つ目の要素の日付調べて、該当する日のカウント増やす

    905 = :

    >>898
    仮にセッションIDが漏れた場合とか想定してるんだけど。
    セッションIDだけじゃなくて、発行時のクライアントのチェックとして有効じゃない?
    886の対案として出してるだけだから、ベストの方法とは思わんけど。

    >>899
    論点がぜんぜん違う

    907 = :

    PHPSESSID決め打ちでそれだけが盗まれたら~ってこと?

    908 = :

    >>900
    session_regenerate_id(true)で済む話だろJK…

    911 = :

    session_registerって使っちゃまずいらしいけど
    じゃあ代わりに何を使えばいいの?

    912 = :

    >>911
    非推奨なのを知ってるということは
    マニュアルを途中まで読んだな?
    もっと下まで読めば書いてあるだろw

    913 = :

    最近は、ID出さなくても答えて貰える様になったのか。
    これがゆとりか。

    914 = :

    回答しない自治気取り君お疲れ様です。
    俺、アンタみたいな人嫌いですw

    915 = :

    お前が言うな

    918 = :

    >>913
    主気取り乙。ずっとこんなところにばかりいないで他いくといいとおもう

    919 = :

    自己紹介おつ

    920 = :

    >>866です。レスありがとうございました。
    >>894さんの「おかしいというか、扉に同じ鍵で開く鍵穴が2つあるみたいなもん」
    というご指摘で、2.3.のおかしな点がよく理解できました。

    ランダム文字列クッキーを認証に利用する方法は、自分も考えたのですが、
    XSSでJSによりクッキーを盗まれる場合には、セッションクッキーとともに
    そのランダムクッキーも盗まれるので効果が無いと思いました。
    また、セッション固定化攻撃には、>>908 さんのいうsession_regenerate_id(true)が
    適切だと考えます。それとともに、php.ini、.htaccessでセッション付きリンクを
    使用不可にするのがよいのかなと。

    921 = :

    >>920
    スレのルールは守ろうな

    924 = :

    ルール厨うぜー

    925 = :

    >>924
    スレのルールは守ろうな

    926 = :

    おまえがいうな

    927 = :

    守ってるじゃん

    928 = :

    >>894
    それ意味ないじゃん
    ハッシュ化したところでクライアントの情報(そのハッシュ化したランダムな文字列)が盗まれれば意味がない
    あとその処理自体にセッションハイジャックに強くなる要素が見当たらない

    サーバ側でセッションハイジャックされないような対策を考える場合XSSだけに気をつければいい
    結局ハイジャックされるかどうかはクライアント側の行動次第
    リンクにセッション情報を含めないほうがいいのはクライアント側の行動次第では漏れる可能性が高いから
    クライアント側がそれなりの知識を持ってるならリンクにセッション情報を含めても問題ない

    929 = :

    >>873
    自己解決しますた。
    telnetじゃムリでした。
    <? phpinfo(); ?>がスルーされたのがそもそもの発端だったんだけど、5.3.8と5.2.13ではshort_open_tagが違うんですね。
    pukiwikiとかwordpressって律儀に<?php ~ ?>ってやってるのかな?

    930 = :

    >>928
    前半の
    >>ハッシュ化したところでクライアントの情報(そのハッシュ化したランダムな文字列)が盗まれれば意味がない
    に関しては同意だけど、セッションIDとクライアントの情報を合わせて
    盗まれなければ意味があるじゃん。
    セッションIDだけ盗まれるってケースは意外とあると思うぞ。
    >>920の言うようにクッキーまるごと盗まれたらしょうがないけど。

    後半は同意できない。

    931 = :

    実質的にセッションIDが漏れるってことはクッキーが漏れることと同義だろ
    どこの実装もほぼ100%クッキーでやってるんだから

    933 = :

    >>930
    それ同じこと思った。
    なんでクッキーとセッションが別腹的な考え方なんだろ。
    素人の俺にはわからん。
    TLSかけるなりしてクライアントとPCの通信の盗聴防がなきゃ意味ない気が。

    934 = :

    最新式の複雑な鍵を使ったとしても、
    鍵盗まれたら困るってことの対策にはならんもんね。

    938 = :

    939 = :

    >>929
    毎回<?php って書いてるよ。
    <?= とか便利かもって思ったこともあったけど、それが便利だと思える場面に遭遇しなくなった

    940 = :

    コードアシストで解決

    945 = :

    実際はディレクトリをのぞいてファイル名だけにしたいとかなんだろうけど
    そんな質問の仕方だと
    substrで三文字目以降を切り出せとか
    p/を空文字に置き換えろとかいう答えが返ってくるぞ

    949 = :

    >>946
    requireで読めて、require_onceで読めないファイルがあるってことだよね。
    それがわかっているなら後は何が原因なのか、どんどんコードを削っていけばたどり着くと思うんだけど


    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php一覧へ
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。

    類似してるかもしれないスレッド

    トップメニューへ / →のくす牧場書庫について