2009年01月07日

[セキュリティ]セッションハイジャックだって?

ダメだ。笑いを堪えられない。
document.cookie に JSESSIONID="てきとうな値を入力" をやってみて、
ハイジャックできない。なぜだ?と言う。
いかん、素人だ。やばい。剣鉄也呼んできて!

WebSphereのJSEESSIONIDは27桁(英数半角大文字小文字)+
サーバーID9桁(文字条件同じ)

セッションIDだけに着目してみる。
長生きする必要がある。宇宙開闢から130億年。
1.3E+9 をよく記憶しておこう。製品で実装されているIDの発行アルゴリズムが、
予測できたり、不完全な乱数は基本ありえない。
つまり、総当たりしか解読できないとする。

27桁が 62種で構成されている。(26+26+10)
つまり、全組み合わせは 62^27 2.48E+48 通り

ユーザーが10万人ログインしていると仮定する。
また、1秒間に1万回の試行が可能とする。
(マッハを越えるキーパンチスピードが必要)

となると、必要な時間は、

2.48E+48 / 1.0E+5 / 1.0E+4 / 3600 / 24 / 365

= 78662729082996633994551335745886 年
= 8E+30

宇宙開闢からいままでやってもまだ、6.2E+21 分の1だ。
がんばれ。桁の数え間違いしてるかもしれんが、
大した問題じゃない。

これだけの失敗ログイン・・。、一回あたり100byteの
ログを書くとする。そうするとログの総量は、
1.3E+9 * 1.0E+5*1.0E+4*3600*24*365*100

4099680000000000000000000000 byte
= 4099680000000000 TB

迷惑な話だな!



posted by koteitan at 20:04| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/112285991

この記事へのトラックバック