セッション
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
*セッション とは [#ube5b3d9]
-セッション[[トークン]]
-セッションレプリケーション
-スティッキーセッション方式
*セッション管理の種類 [#zb5bfd5a]
-セッションID(SessionID)
-セッションIDの受け渡し方法
--[[Cookie]]
--[[hidden]]フィールド
---Webページ上の非表示フィールド
--Query_String (URLパラメータ)
---[[URL]]のPATH(~?sid=~)
-パーミッシブなセッション管理
※端末IDに対してsidを紐づける
**セッションID [#zc0d0a6f]
-セッションIDの要件
--第三者による推測が困難な値であること
--第三者により強制されないこと
--第三者に漏洩しないこと
-対応・対策
--セッションIDの値は充分な長さのある[[乱数]]や[[ハッシュ]...
--セッションIDの値が連番の場合、悪意のあるユーザによるな...
--ログイン後に新しいセッションIDを発行して、古いセッショ...
**Cookie [#g01a09af]
-セッションIDのみを[[Cookie]]に保存する。
--セッションID以外の値は、サーバ側に保存し管理する。
-Cookieの有効期限をできるだけ短くする。
-Cookieの有効範囲を最小限にする。
-[[Cookie]]では[[セッションフィクセーション]]攻撃を防ぐこ...
-[[Cookie]]に保存する値を予測、盗聴等により盗難された場合...
-IDやトークンを予測困難な値にする、ネットワークを[[SSL]]...
-端末側が使えない場合がある。
-ネットワークのデータ量が増える。
**URL [#m7560b54]
-[[セキュリティ]]上の注意が必要。HTTPS通信を使う。ログの...
-第三者にURLを参照されることにより、セッションIDが漏洩す...
-サーバのログにセッションIDが保存される。
**端末ID [#odc882d2]
-[[HTTP]]リクエストに含まれる端末IDを使う。IDとパスワード...
*セッション管理の脅威と脆弱性 [#pe6d192f]
-[[XSS]]
-[[セッション・ハイジャック]]
-[[セッションフィクセーション]]
-[[CSRF]]
**セッション管理情報の漏洩 [#z06da0dd]
-盗聴による漏洩
-GETメソッドが使われることで[[リファラ]]のログにクエリス...
-セッションIDの推測が容易
*セッションの無効化 [#a224e41a]
**ログアウト機能 [#d899a70b]
-ユーザの操作によりログアウトしてセッションを無効化するこ...
**セッションタイムアウト [#re9d464c]
-Webアプリのセッションタイムアウト機能。
-ユーザがログアウトの操作をしなかった場合に自動的にセッシ...
*ステートフル/[[ステートレス]] [#y575cfd4]
**[[ステートレス]] [#e70393ba]
-サーバがアプリの状態を保存しない
-[[REST]]
-[[RESTful]]
**[[ステートフル]] [#u6ee75fd]
-サーバがアプリの状態を保存する
-[[Cookie]]を使った[[セッション]]管理
*スケールアウトするシステムでの考慮点 [#xd4cf14b]
-データストレージに[[memcached]]など[[KVS]]を使う
-セッションIDではなく、セッションの値をCookieに保存する
-次のリクエストに引き継ぐ情報をフォームに非表示で埋め込む
*関連用語 [#t527db20]
-[[スケーラビリティ]]
-[[シングルサインオン]]
-[[ロードバランサ]]
-[[セッションパースシステム]]
-[[SIP]]
終了行:
*セッション とは [#ube5b3d9]
-セッション[[トークン]]
-セッションレプリケーション
-スティッキーセッション方式
*セッション管理の種類 [#zb5bfd5a]
-セッションID(SessionID)
-セッションIDの受け渡し方法
--[[Cookie]]
--[[hidden]]フィールド
---Webページ上の非表示フィールド
--Query_String (URLパラメータ)
---[[URL]]のPATH(~?sid=~)
-パーミッシブなセッション管理
※端末IDに対してsidを紐づける
**セッションID [#zc0d0a6f]
-セッションIDの要件
--第三者による推測が困難な値であること
--第三者により強制されないこと
--第三者に漏洩しないこと
-対応・対策
--セッションIDの値は充分な長さのある[[乱数]]や[[ハッシュ]...
--セッションIDの値が連番の場合、悪意のあるユーザによるな...
--ログイン後に新しいセッションIDを発行して、古いセッショ...
**Cookie [#g01a09af]
-セッションIDのみを[[Cookie]]に保存する。
--セッションID以外の値は、サーバ側に保存し管理する。
-Cookieの有効期限をできるだけ短くする。
-Cookieの有効範囲を最小限にする。
-[[Cookie]]では[[セッションフィクセーション]]攻撃を防ぐこ...
-[[Cookie]]に保存する値を予測、盗聴等により盗難された場合...
-IDやトークンを予測困難な値にする、ネットワークを[[SSL]]...
-端末側が使えない場合がある。
-ネットワークのデータ量が増える。
**URL [#m7560b54]
-[[セキュリティ]]上の注意が必要。HTTPS通信を使う。ログの...
-第三者にURLを参照されることにより、セッションIDが漏洩す...
-サーバのログにセッションIDが保存される。
**端末ID [#odc882d2]
-[[HTTP]]リクエストに含まれる端末IDを使う。IDとパスワード...
*セッション管理の脅威と脆弱性 [#pe6d192f]
-[[XSS]]
-[[セッション・ハイジャック]]
-[[セッションフィクセーション]]
-[[CSRF]]
**セッション管理情報の漏洩 [#z06da0dd]
-盗聴による漏洩
-GETメソッドが使われることで[[リファラ]]のログにクエリス...
-セッションIDの推測が容易
*セッションの無効化 [#a224e41a]
**ログアウト機能 [#d899a70b]
-ユーザの操作によりログアウトしてセッションを無効化するこ...
**セッションタイムアウト [#re9d464c]
-Webアプリのセッションタイムアウト機能。
-ユーザがログアウトの操作をしなかった場合に自動的にセッシ...
*ステートフル/[[ステートレス]] [#y575cfd4]
**[[ステートレス]] [#e70393ba]
-サーバがアプリの状態を保存しない
-[[REST]]
-[[RESTful]]
**[[ステートフル]] [#u6ee75fd]
-サーバがアプリの状態を保存する
-[[Cookie]]を使った[[セッション]]管理
*スケールアウトするシステムでの考慮点 [#xd4cf14b]
-データストレージに[[memcached]]など[[KVS]]を使う
-セッションIDではなく、セッションの値をCookieに保存する
-次のリクエストに引き継ぐ情報をフォームに非表示で埋め込む
*関連用語 [#t527db20]
-[[スケーラビリティ]]
-[[シングルサインオン]]
-[[ロードバランサ]]
-[[セッションパースシステム]]
-[[SIP]]
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
