2010 11/17 22:41
Category : 日記
前々から不思議に思っていたことがある。その疑問が解けました。
夕べ、葉月と一緒にログ巡りをした時のこと。
お互いのハンドルと顔文字を設定変更のページでそれぞれ入れました。
ある方々の足跡のページには仲良く並んでそれらが付いているはずです。
ということは、
1. 足跡を付けるCGI(footprint_logger.cgi)では設定ファイルを読み込みしていない。
2. クッキー(SID)は16進の40字だからログメッセージを入れてはいない。
つまり、一言メッセージを変更する度にユーザーIDと一緒にファイルに保存して、
その場所をクッキーに入れているだけ。。。になる。
そもそも、とっても危険というより脆弱な仕様なんだ。SIDって。
クッキーは誰のサイトでも読み書きできるもの。
非会員、もしくはログアウト状態の訪問者に手持ちのIDをセットしてログイン状態にさせることや、
ログイン状態の訪問者をログアウトにしたり、
別のIDにセットさせることなんて出来ちゃうもの。
それはクッキーのパスがルートで発行させる仕様だから仕方がないのね。
私だったら/home/user_id/のパスで発行させるけれど。
そろそろ、また本気を出してもいいでしょうか?
.
.
.
なんてね( *^)^*)
今日も一日ありがとう、愛しているよ・・・葉月( *^)^*)
夕べ、葉月と一緒にログ巡りをした時のこと。
お互いのハンドルと顔文字を設定変更のページでそれぞれ入れました。
ある方々の足跡のページには仲良く並んでそれらが付いているはずです。
ということは、
1. 足跡を付けるCGI(footprint_logger.cgi)では設定ファイルを読み込みしていない。
2. クッキー(SID)は16進の40字だからログメッセージを入れてはいない。
つまり、一言メッセージを変更する度にユーザーIDと一緒にファイルに保存して、
その場所をクッキーに入れているだけ。。。になる。
そもそも、とっても危険というより脆弱な仕様なんだ。SIDって。
クッキーは誰のサイトでも読み書きできるもの。
非会員、もしくはログアウト状態の訪問者に手持ちのIDをセットしてログイン状態にさせることや、
ログイン状態の訪問者をログアウトにしたり、
別のIDにセットさせることなんて出来ちゃうもの。
それはクッキーのパスがルートで発行させる仕様だから仕方がないのね。
私だったら/home/user_id/のパスで発行させるけれど。
そろそろ、また本気を出してもいいでしょうか?
.
.
.
なんてね( *^)^*)
今日も一日ありがとう、愛しているよ・・・葉月( *^)^*)