«前の日記(2006-05-21 (日)) 最新 次の日記(2006-05-25 (木))»  

まちゅダイアリー


2006-05-22 (月)

はてな認証APIで tDiary にログイン (2)

昨日の日記の続き。 tDiary 外部認証機能において、セキュリティ面で気になっているところをリストアップしておく(ToDoリストとも言う)。

Ruby の CGI::Session の仕様によるけど、 URL へのセッション ID 埋め込みに対応していなければ、(XSS 脆弱性がない限りは)後者の問題は大丈夫なはず。 Ruby のセッション管理の仕様については、ruby-list の議論を読むとよさそう。

追記

Cookie Monsterという、同一ドメインの別サーバから任意の Cookie データを送り込む攻撃もあるとの指摘をいただいた。 やはりログイン後に Cookie を発行するように対策しないとダメだ。

Tags: tDiary hatena
本日のツッコミ(全2件) [ツッコミを入れる]
kazuho (2006-05-22 (月) 07:36)

Session Fixation については、Cookie Monster のような問題もあるので、 Cookie を使っていれば安全、というわけにもいかないと思います。<br>cf. http://www.atmarkit.co.jp/fsecurity/rensai/hoshino06/hoshino01.html

まちゅ (2006-05-22 (月) 13:37)

なるほど。任意のCookieデータを送り込めるということは、セッションCookieはログイン後に発行しないとダメですね。<br>情報ありがとうございます。勉強になりました。