セッションとは

• 投稿日：2021-01-27　
• 表示：143PV　
• カテゴリ：用語

前回は、多要素認証を突破する「pass-the-cookie攻撃」についてお話をしました。
この「pass-the-cookie攻撃」は類型的には、「セッションハイジャック」と呼ばれるもので、他にも類似の攻撃がありますので、ご紹介します。
「セッションハイジャック」は、一言でいうと、「セッションの乗っ取り」になります。
では、「セッション」とは？と疑問を持たれる方もいらっしゃると思いますので、今回は「セッションハイジャック」の前提知識となる「セクション」についてお話をします。

セッションとは

セッションとは、通信を行う「一連の状態」を意味する情報です。

セッションの動作

具体的には次のようなものです。

• 接続
• 情報の送信
• 情報の処理
• 情報の受信
• 切断

それぞれをさらに細分化している場合もあります。

実際には、次の２種類が代表例になります。

1. 通信規格
2. サービスでの管理

通信規格

OSI参照モデルで、セッション層と呼ばれるものの通信で使用されます。
セッション層での通信の代表例は、次の２つです。

• TCP
• UDP

TCPについては、規約上、セッション管理があります。
それに対し、UDPにはありません。
このため、UDPの場合、利用者がセッション（＝状態）を管理する必要があるのです。

どちらにしてもセッションがありますから、通信を傍受されれば、乗っ取られることはあります。

サービスでの管理

「セッションの動作」のところでお話をした内容をサービスでの管理に当てはめてみると次のようになります。
なお、Webサービスのサーバ側を例にします。

• 接続＝ログイン
• 情報の送信＝サービスページなどの送信
• 情報の処理＝サービスの処理
• 情報の受信＝ユーザーからの要求を受信
• 切断＝ログアウト

（補足）２番目から４番目まではサーバの作りにより順不同になります。

言い換えると、Webなどのサービスを利用するときの「ログインからログアウトまで」の「一連の状態」を表す情報です。

次回は、本来お話しする予定だった「セッションハイジャック」についてお話をします。

タグ：セッションハイジャック, 不正ログイン

広告枠・・・広告やリンク先の保証はしません

参考記事（一部広告含む）

このページの記事についてちょっと質問！