Tomcatのセッション管理 - りりーの幸せ日記
Webサーバーを構築するのに、 プラグインとしてTomcatを利用しています。 IISをWebサーバーとして、 IIS7.5とTomcat7を連携させているのです。 セキュリティ対策として セッション管理を見直す必要があったので、 Tomcatのセッション管理について調べた内容を まとめたいと思います。 まず、セッションIDの管理についてですが、 ユーザがサイトにアクセスしたときに、セッションを識別するための セッションIDがブラウザ側にクッキーとして発行されます。 TomcatがランダムなセッションID(32桁)を発行してくれている のです! ということで、IPAが「安全なWebサイトの作り方」の 「1.4 セッション管理の不備」で対策方法として提示している以下の 4-(i)、4-(ii)、4-(v)を満たしています。 ----------------------------------
感想: 体系的に学ぶ 安全なWebアプリケーションの作り方 - penultの日記
読んでます。 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 作者: 徳丸浩出版社/メーカー: SBクリエイティブ発売日: 2011/03/01メディア: 単行本購入: 119人 クリック: 4,283回この商品を含むブログ (146件) を見る まだ途中だけど、主にJava/Tomcatユーザとしての備忘メモ。ただし、セキュリティの専門家でも何でもないので間違いは大いにあると思われます。 HttpOnly 属性の指定(p.103) Tomcat では、Tomcat7以降(Servlet 3.0以降)なら単純に web.xml か web-fragment.xml に <session-config> <cookie-config> <http-only>true</http-only> </cookie-config> </session-confi
第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
LINUX忘却録 diff / patch
diff/patch とは diff は、ファイルの差分を作成するコマンドで、 patchは、差分からファイルの変更を再現するコマンドです。 Linuxの場合、様々なサーバアプリケーションや、ソフトウエアがソースで提供されているため、自分の環境に合った仕組みに改造したり、Linuxユーザの手によって、使いやすく改良したり、本家(提供元)が修正する前に、ユーザーの手によってバグや問題を改善してきました。 しかし、毎回、何処を修正しましたと報告しても、プログラムソースを読めない人では、それを反映することは難しいでしょう。 そこで、このdiff と patchが使われてきました。 オリジナルのソースファイルから、 diff を使用して差分ファイルを作っておけば、そのオリジナルソースに patchコマンドを実行するだけで、修正した箇所が再現出来ます。 このdiffとpatchを使いこな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
