2010-03-24

http://anond.hatelabo.jp/20100307173411

プロキシ犯人説でもいいんだが、相当強固にリクエストを無視するプロキシがあったとして、

セッションハイジャックができたらまずいんじゃねーか?

そういう企業プロキシが存在している事は周知の事実なんだから、楽天ほどの商業サイトで決済からんでるんだし

ログイン直後は302で1度飛ばすとか、ランダムセッションキーをURLのけつにつけるとか、Cache-Control ちゃんと入れるとか、複数の手を使ってプロキシキャッシュすり抜けようとしたあげく、

どうしても無理そうならjsランダムハッシュ付きURLから情報取得してセションと一致しないようならhttpsへ逃げるなど多重の手段を講じてもおかしくないだろ?

企業プロキシをすり抜けられなくて、セッションハイジャックです。でも、それはプロキシが悪いんですは、言いたいことはわかるが、決済系のWebサイトセリフじゃない。

コメント見る限り、他の企業プロキシからも同じ現象は再現しているみたいだし、プロキシーのCache-Control を無視する設定のプロキシ対策を忘れたんじゃなかろうか?というのに1票入れとく。

状況がわからんが、もし、Cache-Control を無視するプロキシー対策忘れなら、一般サイトならセーフだが、課金サイトなら、サイト側のマネージャークラス責任

ハイジャックは言い過ぎか、キャッシュピーピングのぞきみ)だな

記事への反応 -
  • やや古い話だがid:BEWの「全楽天ユーザーが今すぐに登録情報の実名をハンドルネームにすべきたった1つの理由」という日記で楽天に個人情報漏洩の欠陥があるにも関わらず楽天が対応...

    • プロキシ犯人説でもいいんだが、相当強固にリクエストを無視するプロキシがあったとして、 セッションハイジャックができたらまずいんじゃねーか? そういう企業プロキシが存在して...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん