情報セキュリティ(36) サイバー攻撃の手口⑨ セッションハイジャック
Webサービスを利用する際に、利用者のブラウザとサービスを提供するサーバーの間では、HTTPまたはHPPTSというプロトコルで通信を行います。その際、セッションIDが作成され、相手を特定します。Amazonなどで買い物をする時に、いったんブラウザを閉じてから再度開いても、再ログインせずにサーバにつながりますが、これはブラウザがセッションIDを保持するから、サーバが同じ相手だと判断するのです。
ところが、このセッションIDが盗まれて、そのセッションIDで別の者がアクセスしてしまうと、サーバでは違うものと判断できません。これをセッションハイジャックといいます。ブラウザにはcookieという仕組みがあって、一定期間セッションIDを保持するので、これを盗むわけです。
セッションハイジャックを防止するには、cookieの属性をsecure属性にする、URLパラメータに格納しない、などいくつかの対策があります。なりすましを防ぐために、適切な対応を行う必要があります。
投稿者プロフィール
最新の投稿
- 補助金・給付金2024.04.29事業再構築補助金
- ITプロジェクトマネジメント2024.04.26イミグレーション
- ITプロジェクトマネジメント2024.04.25ハンバーガー
- ITプロジェクトマネジメント2024.04.23メキシコ