tadashi nagao wrote: > 長尾です。 >> http://www.securityfocus.com/cgi-bin/vulns-item.pl?section=discussion&id=3567 >> これは、おいおいですね。 確かにこれは非常に良くない(絶対してはいけない事)ですね。 Nukeも気が向いたら、試してみようと思っていましたがソースコードを良 く読む必要がありそうですね。 > PHPLIB みたいに、ランダムに近いトークン発行して、データベースで付け合 > せしたりしないとまずいのではないでしょうか? 当然と思います。 セッションIDは完全にランダムな文字列で構わないので、/dev/urandom等 とハッシュ関数を利用するべきと思います。 -- Yasuo Ohgaki __________________________________________________ Do You Yahoo!? Yahoo! BB is Broadband by Yahoo! http://bb.yahoo.co.jp/