[Tep-j-general] Re: 別のユーザー名でログインしてしまう

Back to archive index

hamada bungu****@leo*****
2005年 1月 6日 (木) 13:48:50 JST


こんにちわ。

On Thu, 6 Jan 2005 12:04:48 +0900
SHIMIZU Yohihiro <yoshi****@sisim*****> wrote:

> 当方で起こった症状では、
> 一番最新でユーザー登録された方が、URLをブックマークした際に
> 保存した以下のようなURLの場合、別の方にログインしてしまうそうです。

うわ、いわゆる「セッションハイジャック」状態ですね。

セッションハイジャック対策としては

http://lists.sourceforge.jp/mailman/archives/tep-j-general/2004-April/001881.html

にて田村さんより

A. session.referer_check
B. ログイン時にセッションを再生成する

という対策提案が為され、最新版MS1Jr6aではBが既に組み込まれています。

早急にA/B両方の対策を実施される事をお勧めします。

はまだ






Tep-j-general メーリングリストの案内
Back to archive index