セッション メモ

セッション メモ

セッションIDとは、ブラウザとサーバーで共通のIDを
もち、どのブラウザでアクセスしたかを判断するものです。
個別の情報をセッションファイルとして、持つことにより、
個別のユーザー情報を入力すること無く、必要な情報を受け取る
ことができます。
HTTP通信では、セッションIDは、クッキーに保存してやりとり
が行われる。
セッションには、有効期限があり、期限を超えると削除される。
不要のセッションは、削除しないとゴミがたまる。

セッションを勝手に使うことができる。
セッションに関しての脅威
・セッション・ハイジャック
 第三者がセッションIDを盗聴し、セッションIDの持ち主
攻撃方法;セッションIDのパターンから推測する。
対策1:推測できないように毎回変わる乱数をセッションIDを利用する。
攻撃方法:勝手に送信させる。(入力でスクリプトを埋め込められる)
対策1:WebSiteでスクリプトを入力させない
対策2:SSLを利用しないサイトへ、クッキーを送信しない。
攻撃方法:通信中のセッションIDを盗聴する。
対策1:セッションIDをSSLで暗号化してやりとりする。
対策2:URLにはセッションIDをつけない。
攻撃方法:リンク元情報の悪用
対策1:Webページに他のWebサイトへのリンクを張らない。
対策2:URLにセッションIDをつけない。
・セッション・フィクゼーション
 第三者が、セッションIDを作成し、乗っ取りたい人に
第三者が作成した、ログインページでログインさせて、なりすます。
・クロスサイト・リクエスト・フォージェリ
 正規のユーザーがWebアクセスをしている最中に、ユーザーの
意図と違う動きをさせる。
スポンサーサイト
姉妹サイトだよ! よかったらみてね!

コメントの投稿

非公開コメント

twitter
twitter アカウント @drum_kuroneko 気軽にフォローしてください。
誰でも簡単に開発ができます!!
人気ナンバー1
自己紹介

yuutyan0205

プロガー:yuutyan0205
きままな自由人です。

たまにプログラミングを行っています。

仕事ください・・・

開発者アプリ一覧 気になったらダウンロードしてください。
開発環境おすすめ
カレンダー
10 | 2017/11 | 12
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 - -
最新記事
月別アーカイブ
カテゴリ
アクセスランキング
[ジャンルランキング]
コンピュータ
949位
アクセスランキングを見る>>

[サブジャンルランキング]
マック
51位
アクセスランキングを見る>>
訪問者数
現在の訪問者数
現在の閲覧者数:
全記事表示リンク

全ての記事を表示する

相互リンク希望の方とご質問ある方ご連絡ください。

名前:
メール:
件名:
本文: