web/セッションアダプション

web/セッションアダプションについて、ここに記述してください。

以前から続いている話だった。

1. 大垣さん

ブラウザ等から送信された未初期化セッションIDをそのまま利用してセッションを初期化してしまう脆弱性です。

その通りで第三者に予想できなければ問題ないですし，仮に予想できてもログインする際に別のセッションIDに変更できれば問題にはなりません。

セッションフィクセイションはアダプション脆弱性修正で防御可能: 古いエントリを編集すると議論の流れが分かりづらくなるので、前のエントリをベースに新しいエントリを作って議論します。このエントリではアダプション脆弱性を修正すると... http://bit.ly/ZdnVNz

セッションアダプションがなくてもセッションフィクセイション攻撃は可能

大垣（@yohgaki）さんと、セッションアダプション脆弱性が「重大な脅威」か否かで論争を続けています。