2006-06-23 HTTP_X_UP_SUBNOをセッションIDにする危険 せきりちい 危険なのはあたりまえだがHTTP_X_UP_SUBNOをセッションIDにしているケータイ向けサイトも多いらしい セッション変数は誰にもわからないIDにすべき VadafoneのuidでもDoCoMoのUIDでも同じ これはトラッキング用の値!PHPやJavaのsessionIDのパターンとかって誰か調べてるのかなあ? ある程度会員数がいて、ExpireなかなかしないサイトへのBirthday Attackの可能性というか…