おさかなラボ - 携帯電話からセッションIDの漏洩を防ぐ

携帯電話向けWebアプリの脆弱性事情はどうなっているのか@高木浩光＠自宅の日記 より リンク先のWebサイトには、Refererと共に端末IDもリクエストヘッダとして送信されているわけで、セッションID入りURLと端末IDがセットで流出するのだから、当然、同じHTTPリクエストを送るだけの方法でなりすましアクセスされてしまう。 URIにセッションIDを含める方法では、悪意のあるサイトにリンクを張るだけでRefererヘッダからセッションIDが取り放題となる。また、悪意のあるサイトにアクセスしたユーザーは端末IDもHTTPヘッダに含めそのサイトに送信してしまう。端末IDは簡単に詐称することが出来るので、端末IDをチェックしてもセッションハイジャックの防止線にはならない、というお話。 私は携帯端末は専門ではないので細かいことは良くわからないのだが、以下を前提にして、携帯電話からセッション

[kaito834]

「責任が持てないサイトにリンクを張る場合、またはBlogのコメント欄のように外部からリンクを任意に張られるような場合は、セッションIDを含めない URLに一旦誘導し、そこから外部リンクに飛ばすようにする。 」

[shike]

この場合、以下の方法を取ることにより、RefererからのセッションIDの窃取、またそれによるセッションハイジャックを防ぐことができる。 1. テンプレートなどにおいて、責任が持てるサイト以外には直接リンクを張らな

[unieye51]

おさかなラボ / Blog Archive / 携帯電話からセッションIDの漏洩を防ぐ

[p_chopin]

『セッションIDを含めない形で、内部ページに一旦遷移させる』『uriのホワイトリストを作る、uriに対応するワンタイムトークンを発行するなどの方策が別に必要となる』

[hiro_y]

携帯電話向けサイトで外部リンクを扱う際の注意、セッションIDの漏洩の防止。

[minus774]

ime.nu方式＋αをしないといけないって事か