はじめに IPAが、『安全なウェブサイトの作り方』という、Webサイトのセキュリティに関するガイドブックを出している。このPDFの21ページに、「ログイン成功後に、新しくセッションを開始するようにする」という対策がある。この解説の内容は納得できるものだ。しかし、ASP.NETで、うまくこれを実装する方法はあるのだろうか? 新しくセッションを開始するには? ASP.NETでセッションを新たに開始するようにするためには、HttpSessionState.Abandonメソッドを使うことになるはずだ。このメソッドによって、メソッドを呼び出した時点のセッションオブジェクトを破棄し、ASP.NETランタイムに、次の新しいセッションオブジェクトの生成を促す。 一般的なログインコード 上記PDFの指針に従うと、ログインが成功した際に新しいセッションを開始しなければならない。すると、一般的なログインコード