テーマ:セッションの乗っ取りの機会を減らすために行うべき処理
正解はこちら
解答:イ
[基礎知識・用語のまとめ]
セッション管理・・・Webシステムでは、WebブラウザとWebサーバ間の、HTTPリクエストとHTTPレスポンスの複数のやり取りをひとまとまりにして、一つのセッションとして管理することが主流です。セッションを管理するためには、WebサーバーがセッションIDを発行して、Webブラウザへ送信します。Webブラウザで毎回のHTTPリクエストにこのセッションIDを含めることによって、Webサーバーは同一のセッションからのリクエストであるということが判別可能になります。
セッションの乗っ取り(セッションハイジャック)・・・悪意のある第三者が、利用者のセッションIDを窃取あるいは推測して、第三者のHTTPリクエストに卯組めることによって、利用者に成りすます攻撃です。特に、ログイン後のセッションを乗っ取られた場合には、利用者にしか利用できない操作を実行されてしまうので、被害が大きくなる傾向があります。
[解法]
セッションの乗っ取りの機会を減らすためには、利用者のログアウト時にWebサーバにおいてセッションIDを無効にすることが対策として有効です。当該セッションIDで識別されるセッションを終了させれば、セッションを乗っ取ることはできなくなります。したがって正解の選択肢は「イ」となります。
その他の回答は、いずれの処理を行っても、セッションが継続している状態となるため、セッション乗っ取りの機会は変わりません。
[参考]
「youtube」や「X(旧ツイッター)」のアカウントでもセッションの乗っ取りによる被害が報告されている、、、らしい。
利用させていただきました素材へのリンク
うさちゃこちゃんねる様 https://www.youtube.com/channel/UCQcDdg4W6r5OfcB1JTcpABw
コメント