メモ : URL にセッションが入ってしまっている場合の自衛策
2005年6月15日(水曜日)
メモ : URL にセッションが入ってしまっている場合の自衛策
「URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) - REFERER情報流出によるセッションハイジャック攻撃の問題 - (securit.gtrc.aist.go.jp)」という文書が出ていますが、URL にセッションを埋め込んでしまっているシステムをどうしても使わなければならない場合、ユーザの自衛策としては以下のような対応が考えられます。
- 絶対に URL を記載することがないように気をつける。特に、メールでログイン後画面についての説明をする際などに URL を記載してしまうことがあるので注意。
- アクセス中に他のサイトを見ないように気をつける。「■リンクのないサーバへもREFERERは送出され得る (securit.gtrc.aist.go.jp)」の件。IE6 やその他のブラウザでは起きないような気もするのですが、念のため。
- 用が済んだら、確実にログアウト操作を行う。
こんな感じの対応をマニュアル化して周知する感じ?
要は URL がセッション情報を含んでいるということを意識して、それが漏れないように注意する必要があるということで。
- 「メモ : URL にセッションが入ってしまっている場合の自衛策」へのコメント (1件)
関連する話題: セキュリティ
- 前(古い): Apache モジュールを通さないで見えてしまう系
- 次(新しい): 早期警戒パートナーシップの感想とか?
