ruby-list

Mailing Lists

ruby-list (For Ruby users, JA) ruby-dev (For Ruby developers, JA) ruby-core (For Ruby developers, EN) ruby-talk (For Ruby users, EN)

[#40347] [お願い] YARV ベンチマークプログラムの募集 — SASADA Koichi <ko1@...>

　ささだです。

1 message 2004/12/02

[#40348] bug? in drb — OHBAYASHI Ippei <ohai@...>

こんにちは、大林です。

6 messages 2004/12/04

[#40349] Re: bug? in drb — Masatoshi SEKI <m_seki@...> 2004/12/04

咳といいます。

[#40350] Re: bug? in drb — Masatoshi SEKI <m_seki@...> 2004/12/05

咳といいます。

[#40390] Re: bug? in drb — Masatoshi SEKI <m_seki@...> 2004/12/10

咳といいます。

[#40423] Re: bug? in drb — Masatoshi SEKI <m_seki@...> 2004/12/14

咳といいます。

[#40457] Re: bug? in drb — OHBAYASHI Ippei <ohai@...> 2004/12/24

大林です。

[#40351] Can't return array in nested recursive — KIRIYAMA Kazuhiko <kiri@...>

桐山＠鳥羽商船高等専門学校です。

2 messages 2004/12/05

[#40352] Re: Can't return array in nested recursive — Yukihiro Matsumoto <matz@...> 2004/12/06

まつもとゆきひろです

[#40353] ri of Ruby 1.8.X — Takahiro Kambe <taca@...>

こんにちは。

7 messages 2004/12/06

[#40354] Re: ri of Ruby 1.8.X — WATANABE Hirofumi <eban@...> 2004/12/06

わたなべです。

[#40355] Re: ri of Ruby 1.8.X — Takahiro Kambe <taca@...> 2004/12/06

In message <9601-Mon06Dec2004105403+0900-eban@os.rim.or.jp>

[#40356] Re: ri of Ruby 1.8.X — WATANABE Hirofumi <eban@...> 2004/12/06

わたなべです。

[#40357] Re: ri of Ruby 1.8.X — Takahiro Kambe <taca@...> 2004/12/06

In message <7423-Mon06Dec2004115702+0900-eban@os.rim.or.jp>

[#40358] Re: ri of Ruby 1.8.X — WATANABE Hirofumi <eban@...> 2004/12/06

わたなべです。

[#40359] Re: ri of Ruby 1.8.X — Takahiro Kambe <taca@...> 2004/12/06

In message <9018-Mon06Dec2004150716+0900-eban@os.rim.or.jp>

[#40360] FYI:KDevelopeでrubyプログラミング — Shun Fukuzawa <shfukuzawa@...>

ゆきちといいます。

1 message 2004/12/06

[#40361] 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...>

藤岡です。

55 messages 2004/12/07

[#40362] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/07

まつもとゆきひろです

[#40363] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/07

藤岡です。

[#40364] Re: 1.8のcgi/session.rb — akira yamada / やまだあきら <akira@...> 2004/12/07

2004-12-07 (火) の 22:09 +0900 に Takeyuki Fujioka さんは書きました:

[#40365] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/08

藤岡です。

[#40366] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/08

まつもとゆきひろです

[#40367] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/08

藤岡です。

[#40368] Re: 1.8のcgi/session.rb — Tietew <tietew-ml-ruby-list@...> 2004/12/08

Tietew です。

[#40369] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/08

まつもとゆきひろです

[#40370] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/08

藤岡です。

[#40371] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/08

まつもとゆきひろです

[#40372] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/08

藤岡です。

[#40373] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/08

まつもとゆきひろです

[#40374] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/08

藤岡です。

[#40375] Re: 1.8のcgi/session.rb — akira yamada / やまだあきら <akira@...> 2004/12/08

Takeyuki Fujioka wrote:

[#40376] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/09

藤岡です。

[#40377] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/09

藤岡です。

[#40378] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/09

まつもとゆきひろです

[#40379] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/09

藤岡です。

[#40380] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/09

まつもとゆきひろです

[#40381] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/09

藤岡です。

[#40382] Re: 1.8のcgi/session.rb — Tanaka Akira <akr@...17n.org> 2004/12/09

In article <41B7E1A9.1050005@ftserve.net>,

[#40387] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/09

まつもとゆきひろです

[#40388] Re: 1.8のcgi/session.rb — "H.Shimura" <shimurahiroyuki@...> 2004/12/09

志村

[#40395] Re: 1.8の cgi/session.rb — 堀川久 <vzw00011@...> 2004/12/12

こんにちは。

[#40383] Re: 1.8のcgi/session.rb — "H.Shimura" <shimurahiroyuki@...> 2004/12/09

志村と申します

[#40384] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/09

まつもとゆきひろです

[#40385] Re: 1.8のcgi/session.rb — "H.Shimura" <shimurahiroyuki@...> 2004/12/09

志村

[#40386] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/09

藤岡です。

[#40398] Re: 1.8のcgi/session.rb — 植田裕之 <ueda@...> 2004/12/13

植田@ネットフォレストと申します。

[#40399] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/13

まつもとゆきひろです

[#40400] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/13

藤岡です。

[#40401] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/13

まつもとゆきひろです

[#40402] Re: 1.8のcgi/session.rb — "H.Shimura" <shimurahiroyuki@...> 2004/12/13

志村

[#40403] Re: 1.8のcgi/session.rb — TAKAHASHI Masayoshi <maki@...> 2004/12/13

高橋征義です。

[#40404] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/13

まつもとゆきひろです

[#40405] Re: 1.8のcgi/session.rb — Takeyuki Fujioka <fuji@...> 2004/12/13

藤岡です。

[#40408] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/13

まつもとゆきひろです

[#40406] Re: 1.8のcgi/session.rb — とみたまさひろ <tommy@...> 2004/12/13

とみたです。

[#40407] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/13

[#40409] Re: 1.8のcgi/session.rb — とみたまさひろ <tommy@...> 2004/12/13

とみたです。

[#40413] Re: 1.8 の cgi/session.rb — yama@... (Daisuke Yamazaki) 2004/12/13

山崎です.

[#40414] Re: 1.8 の cgi/session.rb — とみたまさひろ <tommy@...> 2004/12/13

とみたです。

[#40410] Re: 1.8のcgi/session.rb — Masayoshi Takahashi <maki@...> 2004/12/13

高橋征義です。

[#40415] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/14

まつもとゆきひろです

[#40426] Re: 1.8のcgi/session.rb — TAKAHASHI Masayoshi <maki@...> 2004/12/15

高橋征義です。反応遅くてすみません。

[#40416] Re: 1.8のcgi/session.rb — 植田裕之 <ueda@...> 2004/12/14

植田@ネットフォレストと申します。おはようございます。

[#40411] Re: 1.8のcgi/session.rb — Masayoshi Takahashi <maki@...> 2004/12/13

高橋征義です。

[#40412] 正規表現自動生成 — m-hatake@... 2004/12/13

はじめての投稿です。

[#40424] Re: 正規表現自動生成 — Shun Fukuzawa <shfukuzawa@...> 2004/12/14

ゆきちといいます。

[#40442] Re: 正規表現自動生成 — m-hatake@... 2004/12/19

ゆきちさん、

[#40418] Re: 1.8のcgi/session.rb — "H.Shimura" <shimurahiroyuki@...> 2004/12/14

志村弘之

[#40419] Re: 1.8のcgi/session.rb — 植田裕之 <ueda@...> 2004/12/14

植田@ネットフォレストと申します。

[#40420] Re: 1.8のcgi/session.rb — Yukihiro Matsumoto <matz@...> 2004/12/14

まつもとゆきひろです

[#40425] Re: 1.8のcgi/session.rb — とみたまさひろ <tommy@...> 2004/12/14

とみたです。

[#40389] ストリームからトークンを取りだす。 — Tomokiyo Nomura <tnomura@...>

はじめまして、野村@延岡と言います。

7 messages 2004/12/09

[#40417] Re: ストリームからトークンを取りだす。 — nobu@... 2004/12/14

なかだです。

[#40421] Re: ストリームからトークンを取りだす。 — Tomokiyo Nomura <tnomura@...> 2004/12/14

野村です

[#40422] Re: ストリームからトークンを取りだす。 — Masahiro Kitajima <katonbo@...> 2004/12/14

> irb> require 'scanf'

[#40427] Re: ストリームからトークンを取りだす。 — Tomokiyo Nomura <tnomura@...> 2004/12/15

野村です。

[#40428] Re: ストリームからトークンを取りだす。 — Minero Aoki <aamine@...> 2004/12/15

青木です。

[#40429] Re: ストリームからトークンを取りだす。 — Tomokiyo Nomura <tnomura@...> 2004/12/15

野村です。

[#40391] mutex.rbが実行できません。 — sano <sano@...>

sanoです。

2 messages 2004/12/11

[#40392] Re: mutex.rbが実行できません。 — Masatoshi SEKI <m_seki@...> 2004/12/11

咳といいます。

[#40393] [ANN] Rabbit 0.0.6 — Kouhei Sutou <kou@...>

須藤です．

2 messages 2004/12/12

[#40394] Re: [ANN] Rabbit 0.0.6 — Kouhei Sutou <kou@...> 2004/12/12

須藤です．

[#40430] mod_ruby win32 — "Tokiwa" <tokiwa@...>

2 messages 2004/12/16

[#40443] Re: mod_ruby win32 — Shugo Maeda <shugo@...> 2004/12/20

前田です。

[#40431] cgi/session.rb のセッションIDとファイル名の作り方 — とみたまさひろ <tommy@...>

とみたです。

7 messages 2004/12/16

[#40432] Re: cgi/session.rb のセッションIDとファイル名の作り方 — Yukihiro Matsumoto <matz@...> 2004/12/17

まつもとゆきひろです

[#40433] Re: cgi/session.rb のセッションIDとファイル名の作り方 — Takahiro Kambe <taca@...> 2004/12/17

In message <1103248517.988267.5542.nullmailer@x31.priv.netlab.jp>

[#40438] Re: cgi/session.rb のセッションIDとファイル名の作り方 — とみたまさひろ <tommy@...> 2004/12/17

とみたです。

[#40439] Re: cgi/session.rb のセッションIDとファイル名の作り方 — Yukihiro Matsumoto <matz@...> 2004/12/17

まつもとゆきひろです

[#40444] Re: cgi/session.rb のセッションIDとファイル名の作り方 — とみたまさひろ <tommy@...> 2004/12/20

とみたです。

[#40446] Re: cgi/session.rb のセッションIDとファイル名の作り方 — Yukihiro Matsumoto <matz@...> 2004/12/20

まつもとゆきひろです

[#40434] [ANN] Rubyist Magazine 0004 — SASADA Koichi <ko1@...>

　ささだ＠日本Rubyの会　るびま編集です。

1 message 2004/12/17

[#40435] p File.exist?("//Ibook-02/tk/.bash_history") #=> false ？？ — take_tk <ggb03124@...>

たけ(tk)です

3 messages 2004/12/17

[#40436] Re: p File.exist?("//Ibook-02/tk/.bash_history") #=> false ？？ — nobu@... 2004/12/17

なかだです。

[#40437] Re: p File.exist?("//Ibook-02/tk/.bash_history")#=> false ？？ — take_tk <ggb03124@...> 2004/12/17

たけ(tk)です

[#40441] [ANN] Ruby/SDL 0.9.4 — OHBAYASHI Ippei <ohai@...>

こんにちは、大林です。

1 message 2004/12/18

[#40445] NKF.guess fails on 1.8.2(snapshot) — kimura wataru <kimuraw@...>

　木村といいます。

4 messages 2004/12/20

[#40448] Re: NKF.guess fails on 1.8.2(snapshot) — Kazuhiro NISHIYAMA <zn@...> 2004/12/21

西山和広です。

[#40449] Re: NKF.guess fails on 1.8.2(snapshot) — nobu@... 2004/12/21

なかだです。

[#40486] Re: NKF.guess fails on 1.8.2(snapshot) — kimura wataru <kimuraw@...> 2005/01/02

　木村といいます。返事おそくなってしまいすみません。

[#40447] OOo + win32ole + ole_methods で fail to GetTypeInfo — take_tk <ggb03124@...>

たけ(tk)です

3 messages 2004/12/21

[#40463] Re: OOo + win32ole + ole_methods で fail to GetTypeInfo — Kazuhiro NISHIYAMA <zn@...> 2004/12/26

西山和広です。

[#40466] Re: OOo + win32ole + ole_methods で fail to GetTypeInfo — Masaki Suketa <masaki.suketa@...> 2004/12/28

助田です。

[#40450] 中国語版 ruby-lang.org — KOBAYASHI Toshihito <toshi@...>

コミュニティエンジンの小林です。

1 message 2004/12/21

[#40451] — Tomokiyo Nomura <tnomura@...>

野村＠延岡です

6 messages 2004/12/22

[#40452] Re: — Minero Aoki <aamine@...> 2004/12/23

青木です。

[#40453] Re: — nobu@... 2004/12/23

なかだです。

[#40454] Re: — Tomokiyo Nomura <tnomura@...> 2004/12/23

野村です

[#40455] Re: — nobu@... 2004/12/23

なかだです。

[#40456] Re: — Tomokiyo Nomura <tnomura@...> 2004/12/23

野村です

[#40458] — Yukihiro Matsumoto <matz@...>

まつもとゆきひろです

5 messages 2004/12/25

[#40459] Re: — Takahiro Kambe <taca@...> 2004/12/25

In message <1103942765.757596.27297.nullmailer@x31.priv.netlab.jp>

[#40460] Re: — Yukihiro Matsumoto <matz@...> 2004/12/25

まつもとゆきひろです

[#40464] ミラー (was Re: no subject) — "U.Nakamura" <usa@...> 2004/12/27

こんにちは、なかむら(う)です。

[#40465] Re: ミラー (was Re: no subject) — Yukihiro Matsumoto <matz@...> 2004/12/27

まつもとゆきひろです

[#40461] The second coming of Santa Claus (Re: [ANN] ruby 1.8.2) — Yukihiro Matsumoto <matz@...>

Hello,

1 message 2004/12/25

[#40462] デザインワークショップ[DW2005]のおしらせ — NONAKA Akira <nonaka@...>

野中です。

1 message 2004/12/26

[#40467] webrick/httpauth/htpasswd.rb and MD5, SHA1 — sheepman <sheepman@...>

こんばんは、sheepman です。

3 messages 2004/12/29

[#40489] Re: webrick/httpauth/htpasswd.rb and MD5, SHA1 — GOTOU Yuuzou <gotoyuzo@...> 2005/01/02

In message <20041230012757.72333c9b.sheepman@tcn.zaq.ne.jp>,

[#40569] Re: webrick/httpauth/htpasswd.rb and MD5, SHA1 — Takahiro Kambe <taca@...> 2005/01/23

In message <20041230012757.72333c9b.sheepman@tcn.zaq.ne.jp>

[#40468] ActiveScriptRuby 1.8.2.0に入っていたvrubyで、エラーが出ました — "Keisuke Minami" <keisuke@...>

こんにちは。三並です。

5 messages 2004/12/30

[#40469] Re: ActiveScriptRuby 1.8.2.0に入っていたvrubyで、エラーが出ました — NISHIKAWA <nyasu@...3web.ne.jp> 2004/12/30

こんばんは。nyasu＠3web です。

[#40470] Re: ActiveScriptRuby 1.8.2.0に入っていたvrubyで、エラーが出ました — arton <artonx@...> 2004/12/30

artonです。

[#40471] Re: ActiveScriptRuby 1.8.2.0に入っていたvrubyで、エラーが出ました — NISHIKAWA <nyasu@...3web.ne.jp> 2004/12/30

こんばんは。nyasu＠3web です。またやっちゃったかも。

[#40472] Re: ActiveScriptRuby 1.8.2.0に入っていたvrubyで、エラーが出ました — "Keisuke Minami" <keisuke@...> 2004/12/30

三並です。

[#40473] cgi.rbのURLクエリについて — Tomoyuki Kosimizu <greentea@...2.so-net.ne.jp>

こしみずです。

6 messages 2004/12/30

[#40474] Re: cgi.rbのURLクエリについて — Yukihiro Matsumoto <matz@...> 2004/12/31

まつもとゆきひろです

[#40476] Re: cgi.rbのURLクエリについて — Tomoyuki Kosimizu <greentea@...2.so-net.ne.jp> 2005/01/01

こしみずです。

[#40477] Re: cgi.rbのURLクエリについて — Yukihiro Matsumoto <matz@...> 2005/01/01

まつもとゆきひろです

[#40479] Re: cgi.rbのURLクエリについて — Tomoyuki Kosimizu <greentea@...2.so-net.ne.jp> 2005/01/01

こしみずです。

[#40483] Re: cgi.rbのURLクエリについて — Yukihiro Matsumoto <matz@...> 2005/01/01

まつもとゆきひろです

[#40475] Soap Driver — Masahiro Utsumi <utsumi@...>

内海と申します。

5 messages 2004/12/31

[#40484] Re: Soap Driver — Masahiro Utsumi <utsumi@...> 2005/01/01

内海と申します。

[#40485] Re: Soap Driver — Masahiro Utsumi <utsumi@...> 2005/01/02

内海＠しつこくってすみませんです。

[#40490] Re: Soap Driver — KIYONO Koichi <kiyono-k@...> 2005/01/02

きよのと申します。

[#40491] Re: Soap Driver — Masahiro Utsumi <utsumi@...> 2005/01/03

内海です。

[ruby-list:40388] Re: 1.8のcgi/session.rb

From: "H.Shimura" <shimurahiroyuki@...>

Date: 2004-12-09 07:53:48 UTC

List: ruby-list #40388

		志村

In message "[ruby-list:40387] Re: 1.8のcgi/session.rb", 
<1102575512.375771.23099.nullmailer@x31.priv.netlab.jp>, 
Yukihiro Matsumoto wrote...

 >|Web アプリケーションはあまり詳しくないのですが、一般に session id を外
 >|部から決定できるということは session fixation attack と呼ばれる攻撃に
 >|対して脆弱になるという話を聞いたことがあります。
 >|http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.html
 >|
 >|cgi/session.rb の場合にはそういう脆弱性を持たないような事情があるので
 >|しょうか?
 >
 >変更前のcgi/session.rbはまさにそういう問題を内包してますね。
 >で、「存在しない時には新しいセッションをスタートする」対応な
 >らばこの問題は発生しなさそうです。

攻撃者が自分で作ったIDか、新たにその場で発行されたIDかによらず、
Webセッションの途中で有効なセッションIDを取得出来てしまうという点で
問題があります。

この問題を防ぐには、常に「存在しない時には新しいセッションをスタートする」
ケースであったかどうかをチェックして、その場合には適切な行動をとる
(ID認証や入り口ページへの誘導など) ように、明示的にプログラミング
してやる必要があります。大変です。忘れ易いです。省略しがちです。

 >もっとも、現時点では私は例外をrescueして対応した方が良いと思っ
 >ているのですが。

こちらの方が良いと思います。


==想定してるWebセッションの流れ

1. 入り口、ID認証、新規セッションIDの発行、何かセッション変数の初期化
2. セッションIDを引き継いでいろいろ処理、その一
3. いろいろ処理、その二、その三、、、
4. 出口ページや、時間切れ、等による、セッションの無効化


この 2. とか 3. のタイミングで、Fixation。ID認証なしでなんかできる!?
攻撃者指定のセッションID か、新たに発行したセッションID かは
余り重要ではなく、Webセッションの途中からセッションが始まることが問題。

その問題を解決するために
  * 2. や 3. の冒頭で新規セッションIDなのかを判定する。
  * 冒頭で、別途 1.で何か定義しておいたセッション変数を判定する。
とかさせる位なら、最初からエラーにする (場合によっては rescueで救済) 
ようになっている方が安心です。

---------------------------------------+---------+---------+以上 2004/12/9

志村弘之  mailto: shimurahiroyuki@obun.co.jp

Thread

In This Thread