PHPで学ぶ Session の基本と応用 / web-app-session-101-2024PHPカンファレンス関西2024 の登壇資料です。 Cookie を使った Session 管理について解説しています。
セッション管理に関するチートシート - OWASP
Web 認証、セッション管理、およびアクセス制御 Web セッションとは、同一ユーザーに関連付けられた、ネットワーク HTTP リクエストおよびレスポンスの一連のトランザクションのことです。最近の複雑な Web アプリケーションでは、複数のリクエストの間、各ユーザーについての情報や状態を保持することが必要になります。そのため、セッションには、アクセス権やローカライズ設定などの変数を確立できる機能があります。その変数は、セッションが終わるまで、ユーザーと Web アプリケーションとのあらゆる対話に適用されます。 Web アプリケーションは、最初のユーザーリクエストの後に、匿名ユーザーを追跡記録するセッションを作成できます。ユーザーの言語設定の維持が一例です。さらに、Web アプリケーションは、一度ユーザー認証が完了してから、以後のセッションを使用します。これにより、後続のリクエストでユーザー
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.4 セッション管理の不備 概要 ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッション管理を行っているものがあります。このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。この問題を悪用した攻撃手法を、「セッション・ハイジャック」と呼びます。 また、推測や盗用以外に、セッション管理の不備を狙ったもう一つの攻撃手法として、「セッションIDの固定化(Session Fixation)」と呼ばれる攻撃手法があります。悪意ある人があらかじめ用意したセッションIDを、何らかの方法(脚注1)で利用者に送り込み、利用者がこれに気付かずにパスワードを入力するなどしてログインすると起こりうる問題です。悪意のある
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
