web/セッションアダプションについて、ここに記述してください。

関心をもったのはこれ:
https://twitter.com/ockeghem/status/278305617100288001

以前から続いている話だった。

==  大垣さん ==
http://gihyo.jp/dev/serial/01/php-security/0025?skip
   セッション固定化攻撃に利用される脆弱性

ブラウザ等から送信された未初期化セッションIDをそのまま利用してセッションを初期化してしまう脆弱性です。
   ユーザが送信してきたIDでも第三者に予想できない文字列であれば大丈夫なのでは？と考える方もいると思います。
その通りで第三者に予想できなければ問題ないですし，
仮に予想できてもログインする際に別のセッションIDに変更できれば問題にはなりません。

セッションフィクセイションはアダプション脆弱性修正で防御可能: 
古いエントリを編集すると議論の流れが分かりづらくなるので、前のエントリをベースに新しいエントリを作って議論します。このエントリではアダプション脆弱性を修正すると... http://bit.ly/ZdnVNz


==  徳丸さん ==

http://d.hatena.ne.jp/ockeghem/20090515/p1  ockeghem(徳丸浩)の日記
   PHPのSession Adoptionは重大な脅威ではない


http://tumblr.tokumaru.org/post/37676352092/session-adoption-and-session-fixation

セッションアダプションがなくてもセッションフィクセイション攻撃は可能

大垣（@yohgaki）さんと、セッションアダプション脆弱性が「重大な脅威」か否かで論争を続けています。