この記事を読むために必要な時間は約3分(1120文字)です。
セッションハイジャックの対策
- 投稿日:2021-02-01
- 表示:327PV
- カテゴリ:対策技術
最終回の今回は、セッションハイジャック攻撃の対策です。
目次
セッションハイジャックの対策
セッションハイジャックの方法の代表例は、次の5種類です。どの対策もサービス提供側が行うことになります。
「セッションハイジャックとは」でお話をしているように、ユーザが行える対策は、セキュリティ対策ソフトやブラウザの更新に頼るほかないのが現状です。
- セッション情報を推測しにくいものにする
- URLに含めない
- 通信にはHTTPSなどSSL(TLS)を利用する
- 一定のタイミングでセッション情報を更新する
- セッション情報とは別に情報を追加する
セッション情報を推測しにくいものにする
「セッションハイジャックとは」では、盗み見るというお話をしてきました。ただ、実際の攻撃では、盗み見る必要がない場合もあります。
これが、セッション情報が推測できる場合です。
推測から偽のセッション情報を作り出すことができれば、その情報を利用して攻撃できるからです。
難しく考えなくても、乱数を加えるとか、推測できないようにできればOKです。
URLに含めない
次にお話をする通信の暗号化をしたとしても、URLには含めないほうが良いです。理由は、ソーシャルエンジニアリング(攻撃)があるからです。
通信にはHTTPSなどSSL(TLS)を利用する
通信にSSL(TLS)を利用し暗号することで、盗み見対策ができます。なお、Cookie(クッキー)については、Secure属性を付加することで、HTTPS通信でないと送信しないようにできます。
対策として、付加するようにしましょう。
一定のタイミングでセッション情報を更新する
継続してセッション情報を利用しているので、攻撃者が再利用できるのです。それであれば、一定のタイミングでセッション情報を更新すれば、攻撃者が再利用できなくなります。
この方法は、セッション情報を固定している場合には用いることができません。
しかし、固定している場合は、推測しやすくもなりますので、セッション情報を固定化することは、避けたほうが良いです。
セッション情報とは別に情報を追加する
セッション情報とは別の情報と合わせて管理していれば、たとえセッション情報が洩れても、ハイジャックされることはありません。セッション情報がCookieにあるのであれば通信データに含めるなど、保管場所を別にするだけでも、強化できます。
タグ:セッションハイジャック
| 広告枠・・・広告やリンク先の保証はしません |
|---|