 |
||||||||||||
|
||||||||||||
| 前のページ 1 2 3 4 次のページ | ||||||||||||
|
||||||||||||
| 保険的対策 | ||||||||||||
|
保険的対策には表2にあげた2つがあります。
表2:セッション・ハイジャックの保険的対策
それではそれぞれについて解説します。 |
||||||||||||
| セッション管理情報を固定値にしない | ||||||||||||
|
これは、セッション・ハイジャックが行われる機会を低減する対策です。 利用者に発行するセッション管理情報が固定値の場合、この情報が攻撃者に入手されると、時間の経過に関係なく、いつでもセッション・ハイジャックを行われてしまいます。セッション管理情報は、利用者のログインごとに新しく発行し、固定値にしないようにしてください。 |
||||||||||||
| セッション管理情報をCookieにセットする場合、有効期限の設定に注意する | ||||||||||||
|
これは、Cookieが盗まれてしまう可能性を低減する対策です。 Cookieは有効期限が過ぎるまでブラウザに保持されるため、ブラウザの脆弱性を悪用するなど何らかの方法でCookieを盗むことが可能な場合、その時点で保持されていたCookieが盗まれてしまう可能性があります。Cookieを発行する場合は、有効期限の設定に注意してください。 例えば、Cookieをブラウザに残す必要が無い場合は、有効期限の設定(expires=)を省略することにより、発行したCookieをブラウザ終了後に破棄させます。 以上の対策により、セッション・ハイジャックが行われる可能性を低減することができます。セッション管理に関する情報ついては、次の資料もご参照ください。
参考URL
セッション管理 http://www.ipa.go.jp/security/awareness/administrator/ secure-web/chap6/6_session-1.html セッション管理の留意点 http://www.ipa.go.jp/security/awareness/administrator/ secure-web/chap6/6_session-2.html |
||||||||||||
|
前のページ 1 2 3 4 次のページ |
||||||||||||
|
安全なウェブサイトの作り方 - ウェブアプリケーションのセキュリティ実装とウェブサイトの安全性向上のための取り組み 2006年1月31日にIPAは、ウェブサイト運営者がウェブサイト上で発生しうる問題に対して、適切な対策ができるようにするため、「安全なウェブサイトの作り方」を取りまとめ公開いたしました。 本記事は、その報告書の転載です。詳しい内容に関しましては、以下のURLをご参照ください。 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/documents/2005/website_security.pdf 脆弱性関連情報に関する届出について http://www.ipa.go.jp/security/vuln/report/index.html IPA(独立行政法人情報処理推進機構) http://www.ipa.go.jp/index.html IPA/ISEC(独立行政法人情報処理推進機構セキュリティセンター) http://www.ipa.go.jp/security/index.html |
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
