セッションフィクサーションとは？

ログイン画面(セッション開始 = 整理番号の振り出し)

👿悪人「君の整理番号はaaaだ」

👦ユーザ「整理番号はaaaか」

認証

👦ユーザ「整理番号aaaです。メールアドレスはuser@example.com、パスワードはpasswordです。」

👨受付「整理番号aaaですね。認証情報も合ってる。認証するよ！」

ログイン成功

👦ユーザ「ログインできたぞ！」

…

👿悪人「整理番号はaaaだ」

👨受付「整理番号aaaですね。その整理番号は既に認証しているね、通っていいよ。」

😈悪人「うふっ💕」

数日後…

👦ユーザ「なんだこの請求書は！？あれっこんな商品買ってないぞ？＞＜」

 

解決

ログイン後にセッションid = 整理番号を変更してあげれば良い。

 

👿悪人「君の整理番号はaaaだ」

👦ユーザ「整理番号はaaaか」

認証

👦ユーザ「整理番号aaaです。メールアドレスはuser@example.com、パスワードはpasswordです。」

👨受付「整理番号aaaですね。認証情報も合ってる。認証するよ！君の整理番号はbbbだ」

ログイン成功

👦ユーザ「確かに整理番号はbbbに変わった。ログインできたぞ！」

…

👿悪人「整理番号はaaaだ」

👨受付「整理番号aaaだね。認証情報教えてね」

👿悪人「！！？知るかドブカス！通せや」

👨受付「ははは、だめだよ」

👿悪人「…」