[Tep-j-general] Re: セッションハイジャック対策(Recreate Session)

Zurück zum Archiv-Index

TAMURA Toshihiko tamur****@bitsc*****
2004年 5月 7日 (金) 21:29:13 JST


今井さん、こんにちは。
田村です。

# 今井さんが書かれているのも、もっともだと思います。
# セッション問題にはいろんな意見やアイデアもあるでしょうし、
# osCommerceの実装も変わっていくのではないでしょうか。

セッションハイジャックにも、次の2種類があります。

a) BBSや検索サイトの検索結果に記録されたsidによって、
   予期せずセッションハイジャックの状態になってしまっった。

b) 通信を盗聴されて、取得したsidでアクセスされた。

osCommerceで運営しているサイトは、
a)の対策をまずやるべきだと思いますが、
クッキーを受け付けない設定のユーザをサポートする必要もあって、
b)に関しては対策がむずかしいです。

個人的には、それに対しては次のような対策をとるのが
いいのではないかと考えています。

(対策1) すべてをSSLで運用する。
  ('HTTP_SERVER'/'HTTPS_SERVER'に'https://...'を指定する)

(対策2) [アカウント情報]/[レジに進む]などのSSLページに移行するときに、
  ログイン後であっても毎回パスワードを入力させる。
  (そのときにsidを付け替える)

サイトの性格や重要性によって、
こういった対策の導入を考えればいいのではないでしょうか。

-- 
田村敏彦 / 株式会社ビットスコープ
E-mail:tamur****@bitsc*****
http://www.bitscope.co.jp/





Tep-j-general メーリングリストの案内
Zurück zum Archiv-Index