[セキュリティ] * Cookieを利用したセッション維持(Sticky)の問題点 (ITPro)

---

にわかには信じられない。 すべてのタブ/すべてのサイトを合算して、“わずか4〜5KBしかないCookieサイズを1つのブラウザで共有” しているというのは考えにくい。 * 葉っぱさんが検証してくれる

---

らしい。 「1つのドメインに対して20個まで」という数の制限や、「それぞれの Cookie は 4,096バイト以内（Set-Cookie: の行は 5,118バイト以内）」といったサイズの制限が原因なのでは？(@_@)「根本的な解決方法」として「URLを利用したセッション維持方法に変える」ことが挙げられているが、Referer: で漏えいしてなりすまし！とか考えたことはあるだろうか...複数台の Webサーバ(IIS) で負荷分散しているサイトで、セッション管理は独自の Cookie を使用しているのに、ASPSESSIONID〜〜も発行されていて、負荷分散先が変わるたびに Cookie が増えていく素敵なサイトを見たことがありますｗ　あれ、20個超えるだろうなぁ。（セッションオブジェクトではなく、） Cookie に情報をそのまま突っ込みすぎて、サイズが 4,096バイトを超えちゃった♪という話だったら、もう呆れるしかｗ関連： * Internet Explorer increases the per-domain cookie limit from 20 to 50 (Microsoft)

---

[セキュリティ] * 緊急点検！Webアプリ・セキュリティ（前編） (日経BP)

---

どこかで見た文章だと思ったら、2005年の「日経システム構築」の記事なのね。 すでに、“* 続・「サニタイズ言うなキャンペーン」とは

---

” の時に高木先生が「点検」済みですｗ　＞* 後で点検する

---

[セキュリティ] * javascript://のXSS (T.Teradaの日記)

---

Firefox では、JavaScriptコード内の U+2028 や U+2029 を改行文字として認識するそうです。 このため、HTML のエンコードが UTF-8 であれば、「<a href="javascript://hoge[0xE2][0x80][0xA8]alert(111)">link</a>」（もし「&」がエスケープされていなければ、「&#x2028;」も可？）という形式でも javascriptスキーマでのスクリプト実行が出来るらしい。 「^https?://」みたいな感じではなく、プロトコルの直後に「://」が続いているかどうか（「^[a-z]{3,7}://」）で判断しているようなサイトは危ないと。[セキュリティ] * PHPによる大規模商用サービスの裏側 (@IT)

---

ぐるなび、楽天、サイボウズにおけるPHP開発事例の裏側＠PHPカンファレンス2008。