Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年2月24日

セッション管理機能

以下の記事で解説したように、HTTP の通信はステートレスであるため状態を管理することができません。具体的には、1回目にアクセスした人と2回目にアクセスした人が同じ人だと判断できません。

この問題を解決するのがセッション管理機能です。

セッション管理機能は、ユーザーが Web サーバーにアクセスした際に、ユーザーを識別する整理番号であるセッション ID をユーザーに渡します。ユーザーは、リクエストする度にセッション ID を送信することで、Web サーバー側でユーザーを識別できるようになります。

pic01

セッション ID は通常 Cookie に保存されます。ブラウザが Cookie を受け付けない場合は、URL の一部にセッション ID を付けることもあります。なお、Cookie についての詳細は以下の記事を参照してください。

セッション ID が推測可能であったり、漏洩するようなことがあるとセッションを乗っ取られてなりすましの脆弱性につながってしまいます。

ですので、脆弱性を作りこみやすいセッションID は自作しないで、アプリケーションフレームワークの機能を利用するようにしましょう。また、セッション ID を URL の一部として管理する場合は、どのページから Web ページに来たか分かるリファラーなどからセッション ID が漏洩しないように注意する必要があります。

  • セッション管理機能によって状態を管理でるようになる
  • セッション ID は通常 Cookie に保存される
  • セッション ID は自作しない
  • セッション ID が漏洩しないよう注意する

スポンサーリンク




カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA