Tank_Auth について

39 views

Skip to first unread message

unread,

Dec 1, 2016, 9:44:31 AM12/1/16

to codeigniter_jp

質問なのですが、Tank_Authをcodeigniter3用に直して使っているのですが

session_regenerate_idがなされていないようです。

基本的にはログイン直後にセッションハイジャックを回避するため

session_regenerate_idを行うはずですが、

Tank_Authで行われていないのには何か理由があるのでしょうか。

unread,

Dec 2, 2016, 1:17:14 AM12/2/16

to codeigniter_jp

Kenji です。

もし、ログイン直後にセッションIDが変更されていないのであれば
単なる脆弱性だと思います。

// Kenji

Reply all

Reply to author

Forward

0 new messages