情報セキュリティ(36) サイバー攻撃の手口⑨ セッションハイジャック
Webサービスを利用する際に、利用者のブラウザとサービスを提供するサーバーの間では、HTTPまたはHPPTSというプロトコルで通信を行います。その際、セッションIDが作成され、相手を特定します。Amazonなどで買い物をする時に、いったんブラウザを閉じてから再度開いても、再ログインせずにサーバにつながりますが、これはブラウザがセッションIDを保持するから、サーバが同じ相手だと判断するのです。
ところが、このセッションIDが盗まれて、そのセッションIDで別の者がアクセスしてしまうと、サーバでは違うものと判断できません。これをセッションハイジャックといいます。ブラウザにはcookieという仕組みがあって、一定期間セッションIDを保持するので、これを盗むわけです。
セッションハイジャックを防止するには、cookieの属性をsecure属性にする、URLパラメータに格納しない、などいくつかの対策があります。なりすましを防ぐために、適切な対応を行う必要があります。
投稿者プロフィール

最新の投稿
総合2022.06.30原子力発電所の再稼働
バラの街2022.06.29柔道の稽古
総合2022.06.28電力不足と太陽光発電
バラの街2022.06.27梅雨明け