6

ColdFusion Cookie セッション Cookie 管理の一般的な「ベスト プラクティス」は、次のようなものを実装することです。

<cfset this.setClientCookies = false />
<cfif NOT IsDefined( "cookie.cfid" ) OR NOT IsDefined( "cookie.cftoken" )>
    <cfcookie name="cfid" value="#session.cfid#" domain=".#cgi.HTTP_HOST#" path="/test/sessiontest">
    <cfcookie name="cftoken" value="#session.cftoken#" domain=".#cgi.HTTP_HOST#" path="/test/sessiontest">
</cfif>

また

<cfif IsDefined("Cookie.CFID") AND IsDefined("Cookie.CFTOKEN")>
    <cfcookie name="CFID" value="#Cookie.CFID#">
    <cfcookie name="CFTOKEN" value="#Cookie.CFTOKEN#">
</cfif>

誰と話すかによる。

その後、アドビはhttp://www.adobe.com/support/security/bulletins/apsb11-04.htmlをリリースし、その後、この元の修正に対する修正をリリースしました。これについては、http: //www.shilpikhariwal.com/2011で説明しています。 /03/update-on-security-hot-fix-feb-2011.html

元の修正は、ここで説明されている多くの問題を引き起こします: http://cfsimplicity.com/4/coldfusion-security-hotfix-changes-session-behaviour この修正 (および Web 上の他の多くの同様の修正) は、上記の cfcookie コード。

それから 1 年が経ちましたが、CF9.02 を実行しているときに (つまり、セッション固定の修正が適用された状態で) CFID/CFToken の管理のために現在人々が何をしているのか知りたいです。

4

1 に答える 1

1

ええと、CFID/CFToken を使用していません。私はこれらのクライアント変数を何年も使用しておらず、代わりに ColdFusion セッション管理を使用しています。クライアントからのものを信頼するのはリスクが高すぎます (私の意見では)。

実際、Adobe ドキュメントには、クライアント状態の管理に関するかなり適切な記述があります: クライアント状態の管理

CFID/CFToken をまだ使用する必要があるというあなたのケースは何ですか?

その Adob​​e 記事からの抜粋:

ユーザーの CFToken および CFID Cookie を持つハッカーは、盗んだ CFToken および CFID Cookie を使用してユーザーのセッション中に Web ページにアクセスすることにより、ユーザー データにアクセスする可能性があります。このシナリオはありそうにありませんが、理論的には可能です。

この脆弱性は、ColdFusion Administrator の [メモリ変数] ページで [J2EE セッション変数を使用] オプションを選択することで削除できます。J2EE セッション管理メカニズムは、セッションごとに新しいセッション ID を作成し、CFToken または CFID Cookie 値を使用しません。

于 2012-09-13T15:29:06.593 に答える