パッチのテストのお願いです。
PHPerの長年の悩みの種であるセッションアダプションを修正するパッチをPHPに取り込めそうです。PHPのsubversionレポジトリのtrunkまたはPHP 5.4で利用できます。テストが終わったらPHPのレポジトリにコミットする予定です。(テスト期間は2011/11/22まで)
パッチ
少し古いですがパッチの解説
セッションアダプション関連のブログエントリ
- http://blog.ohgaki.net/how-to-make-php-session-strict-by-php-script
- http://blog.ohgaki.net/php-session-adoption-1
パッチに何か問題があったらご連絡頂けると助かります。問題なかったよ、も大歓迎です。
ツイッターの方がレスポンスは良いです。
メールご連絡頂いても構いません。ブログのコメントととして送信する場合はエラーメッセージを無視して送信してください。モデレーションが必要なコメントとして送信できます。
思い起こせばセッションアダプション脆弱性の修正は最初の提案から6年以上経っています。セッションアダプションとブラウザの仕様に関する理解を得られず今まで修正されてきませんでした。しかし、今回は修正できそうです。SQLインジェクション対策や入力のバリデーション処理もそうですが、正しいものは正しい。主張し続ければ時間はかかっても必ず正しい方が認められるのが世の中です。
今度こそPHPのアキレス腱であるセッションアダプション脆弱性を修正しましょう!
テストが可能な方は是非テストして頂けるよう、よろしくお願いします!