Webシステムにおいて、セッションの乗っ取りの機会を減らすために、利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。
ここで、利用者は自分専用のPCにおいて、Webブラウザを利用しているものとする。
| ア | WebサーバにおいてセッションIDをディスクに格納する。 |
| イ | WebサーバにおいてセッションIDを無効にする。 |
| ウ | WebブラウザにおいてキャッシュしているWebページをクリアする。 |
| エ | WebブラウザにおいてセッションIDをディスクに格納する。 |
答え イ
【解説】
セッションの乗っ取り(セッションハイジャック)はWebサーバとWebブラウザ間で交互通信を行っているのを、セッションを特定するためのセッションIDを盗み出してWebサーバまたはWebブラウザのいずれかになりすますことでデータの搾取や不正な操作を行うので、これを防ぐために利用者のログアウト時に行うのはWebサーバにおいてセッションIDを無効にする(イ)になります。
基本的に、セッションIDは一回のログインでのみ使用し、使い回すことはないので、Webサーバ、Webブラウザでディスクに保存することはありません。
【キーワード】
・セッションハイジャック
- セッションハイジャック(session hijacking)
ネットワーク上で一対の機器間で交わされる一連の通信(セッション)を途中で乗っ取り、片方になりすましてもう一方から不正にデータを詐取したり、不正な操作を行なう攻撃です。
もっと、「セッションハイジャック」について調べてみよう。
戻る
一覧へ
次へ