Webシステムにおいて、セッションの乗っ取りの機会を減らすために、利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。
ここで、利用者は自分専用のPCにおいて、Webブラウザを利用しているものとする。
ア | WebサーバにおいてセッションIDをディスクに格納する。 |
イ | WebサーバにおいてセッションIDを無効にする。 |
ウ | WebブラウザにおいてキャッシュしているWebページをクリアする。 |
エ | WebブラウザにおいてセッションIDをディスクに格納する。 |
答え イ
【解説】
セッションの乗っ取り(セッションハイジャック)はWebサーバとWebブラウザ間で交互通信を行っているのを、セッションを特定するためのセッションIDを盗み出してWebサーバまたはWebブラウザのいずれかになりすますことでデータの搾取や不正な操作を行うので、これを防ぐために利用者のログアウト時に行うのはWebサーバにおいてセッションIDを無効にする(イ)になります。
基本的に、セッションIDは一回のログインでのみ使用し、使い回すことはないので、Webサーバ、Webブラウザでディスクに保存することはありません。
【キーワード】
・セッションハイジャック