2006年5月10日(水) 15時24分57秒 [Web関連]

セッションIDの生成って

セッションIDを生成する場合、予測が困難な文字列で、毎回異なるような文字列にしておく必要があるわけですけど、それって単に、rand関数とかで得られる乱数を使っただけでいいのかな…？(^^;)

もちろん、シードが固定だとrand関数が返す値は同じになっちゃうので、毎回変わるようなシードを与えないといけませんけど。Perl5の場合、現在時刻とプロセスIDを組み合わせたシードを勝手に作って使ってくれるらしいですから、シードはこれで十分ですよね？ プロセスIDって外からは分からんだろうし。

そうやって得られた乱数をそのまんまセッションIDにすると、なんか問題あるかなあ？
その乱数のハッシュを求めて、ハッシュをセッションIDにすれば、もう何が何やら分からなさそうだけど。

脆弱性の要因になるのは、セッションIDの予測の難易度だけじゃなくて、セッションIDの管理方法もだから、セッションIDの生成方法としては、「乱数を使う」というのだけで十分だと考えていいのかな…？

…と思ってちょっと調べたら、こんな記事を発見。

◆気を付けたい貧弱なセッション管理（＠＠IT）