セッションIDの変更 - ログ日記
Javaの標準ではPHPのsession_regenerate_id()のような仕組みは無いのかな? コメントより 詰め替えしてinvalidate()するInterfaceを作りました。 Teeda -- HttpSession.invalidate()する際の注意点 - jfluteの日記 ここは手動でやるしかないのかなぁ…。 http://www.atmarkit.co.jp/fsecurity/rensai/struts04/struts03.html ここでは新しいセッションIDを生成するために、一度セッションを破棄している。 セッションで保持中の情報を引き継ぎたい場合は、やはり自分で詰め替えるのかな。 あとセッションIDを指定してセッションを開始する方法はないものか。 ただ、サーブレットでは、セッションIDを指定して、Sessionを生成する方法は、用意されていないようで、Co
安全なセッション管理を実現するために
ログイン前とログイン後でセッションIDが変化しない セッション固定攻撃が成立する最後の条件はログイン前とログイン後でセッションIDが変化しないことだ。セッションIDを変化させるためには明示的な実装が必要となるから、意識して実装されていない限り条件が成立する可能性は高いといえるだろう。 ほかの条件については、独自に機能拡張されたアプリケーションサーバやフレームワークを使用するなど、複雑な対策が必要となるが、最後の条件だけは、容易な実装で対策することが可能である。 対策: ・ログイン成功時にセッションIDを再発行する セッションIDを変化させるには、ログインが成功したらセッションIDを再発行させればよい。再発行の時点でセッションIDは攻撃者にとって未知の値となるため、セッション固定攻撃は成功しなくなる。具体的には以下のような実装となる。 /** ログイン処理を実行して成功したらセッションを再発
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
