セッションハイジャックを防ぐために、つねにクッキーで最終アクセス時間のトークンをおくる方法は有効なのでしょうか? クッキーを送る方法は、ページを読み終わったときの最後にAjax で送るのがいいかなと思っています。

有効だとするならば実装があると思いますので、お教ください。有効でない場合とする回答をされるかたは明らかに有効でないという解説をしているページの提示お願いします。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2006/09/20 13:43:14
  • 終了:2006/09/27 13:45:03

回答(2件)

id:b-wind No.1

b-wind回答回数3344ベストアンサー獲得回数4402006/09/20 13:59:27

ポイント35pt

http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.h...

セッションハイジャックの方法にもいろいろ有りますから、一部には有効かもしれません。

リンク先で言うと、総当りなどの方法はとりにくくなります。

ただ、現状では XSS やブラウザのバグによる取得が主流かと思いますので、多少難しくなるかもしれませんがあまり大きな効果は期待できないと思います。

結局のところ、最後に受け取った Cookie を取得できればそれでいいからです。


残念ながら自分はこのような実装もそれを検証する記述も見たことがありませんので、申し訳ありませんがページは挙げられません。

id:isogaya

>最後に受け取った Cookie を取得できればそれでいいからです。

そうでない場合には有効だということですね。

ページを読み終わったところでクッキーをとるならいけそうですね。

2006/09/20 14:08:39
id:llusall No.2

llusall回答回数505ベストアンサー獲得回数612006/09/20 14:43:33

ポイント35pt

私は「セッションハイジャック」という観点からすると有効だと思います。


「最終アクセス時間のトークン」をクッキーで送出とのことですが、

プレーンテキストな状態では、あまり意味がないかと思います。

あと、クッキーは捕捉されてしまうものと割り切り、その代わりに改竄しずらくするように持って行った方が良いのではと思います。


そこで、

リクエスト毎に次のようなチェックをかけるのはどうでしょうか?

サーバ側(レスポンス)[下り]

秘密鍵+最終アクセス日時(この場合現在日時) --> MD5 でハッシュ値を生成

最終アクセス日時+ハッシュ値 --> クッキーとして送出


サーバ側(リクエスト)[上り]

クッキー --> 最終アクセス日時とハッシュ値に分離

秘密鍵+最終アクセス日時 で生成したハッシュ値と、クッキーで送られてきたハッシュ値が同じであるかどうかチェック

特にページの読み終わりにどうこうする事もないかと思いますが。


id:isogaya

ページ読み込み最中にとられた場合に対応するので読み終わりがいいかなと思っています。

ただ、これなら、

MD5 にする javascripit を使うのが

いいかもしれません。

http://www.onicos.com/staff/iz/amuse/javascript/expert/md5.txt

2006/09/20 15:35:35
  • id:b-wind
    >ページを読み終わったところでクッキーをとるならいけそうですね。
    書き方が悪かったですね、すいません。
    自分としてはさらにその後で Cookie を撮られてしまえば無意味になる。と言う意味で書きました。
    また、極端な例では通信路上でパケットキャプチャされてしまえばタイミングはほとんど無関係です。
  • id:llusall
    そもそも、クッキーを捕捉されて、同じものを返送されたら、無意味ですね。的外れな回答でした。すみませんです。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません