山下寛人オフィシャルブログ

オイシックス株式会社 執行役員 システム本部長 山下寛人の公式ブログです。

セッション管理のセキュリティ

これは突き詰めるとなかなか奥が深い

問題です。

session idを盗まれると他人になりすまし

されてしまうおそれがあります。

そのための対応策としてsecure cookie

利用してHTTPSのページではsession idを

別にするといったことが一般的には

言われています。

しかし通常のサーブレットコンテナを

使っているとそういったことはできません。

そうなるとサーブレットコンテナの機能で

セッション管理をせず、自前でセッション管理の

仕組みを実装しないといけません。


楽天やアマゾンのクッキーも解析して

みました。

楽天ではセッションidらしきものがリクエストごとに

変化していました。

アマゾンではHTTPSのときだけに送信されるクッキーが

あるようです。

いずれもセッション管理は自前で実装している

ことがうかがえます。


他にセッションid漏えい時に有効と思われる

対策としてはリスクベース認証があると

思います。

今までアクセスしてきた環境と違う環境からの

アクセスだった場合、再度認証をするという

手法です。

これであればセッションidを盗んだだけでは

不正はできなくなるでしょう。