人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

セッションハイジャックを防ぐために、つねにクッキーで最終アクセス時間のトークンをおくる方法は有効なのでしょうか? クッキーを送る方法は、ページを読み終わったときの最後にAjax で送るのがいいかなと思っています。
有効だとするならば実装があると思いますので、お教ください。有効でない場合とする回答をされるかたは明らかに有効でないという解説をしているページの提示お願いします。

●質問者: isogaya
●カテゴリ:コンピュータ インターネット
✍キーワード:Ajax アクセス時間 クッキー セッションハイジャック
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● b-wind
●35ポイント

http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.h...

セッションハイジャックの方法にもいろいろ有りますから、一部には有効かもしれません。

リンク先で言うと、総当りなどの方法はとりにくくなります。

ただ、現状では XSS やブラウザのバグによる取得が主流かと思いますので、多少難しくなるかもしれませんがあまり大きな効果は期待できないと思います。

結局のところ、最後に受け取った Cookie を取得できればそれでいいからです。


残念ながら自分はこのような実装もそれを検証する記述も見たことがありませんので、申し訳ありませんがページは挙げられません。

◎質問者からの返答

>最後に受け取った Cookie を取得できればそれでいいからです。

そうでない場合には有効だということですね。

ページを読み終わったところでクッキーをとるならいけそうですね。


2 ● llusall
●35ポイント

私は「セッションハイジャック」という観点からすると有効だと思います。


「最終アクセス時間のトークン」をクッキーで送出とのことですが、

プレーンテキストな状態では、あまり意味がないかと思います。

あと、クッキーは捕捉されてしまうものと割り切り、その代わりに改竄しずらくするように持って行った方が良いのではと思います。


そこで、

リクエスト毎に次のようなチェックをかけるのはどうでしょうか?

サーバ側(レスポンス)[下り]

秘密鍵+最終アクセス日時(この場合現在日時) ??> MD5 でハッシュ値を生成

最終アクセス日時+ハッシュ値 ??> クッキーとして送出


サーバ側(リクエスト)[上り]

クッキー ??> 最終アクセス日時とハッシュ値に分離

秘密鍵+最終アクセス日時 で生成したハッシュ値と、クッキーで送られてきたハッシュ値が同じであるかどうかチェック

特にページの読み終わりにどうこうする事もないかと思いますが。


◎質問者からの返答

ページ読み込み最中にとられた場合に対応するので読み終わりがいいかなと思っています。

ただ、これなら、

MD5 にする javascripit を使うのが

いいかもしれません。

http://www.onicos.com/staff/iz/amuse/javascript/expert/md5.txt

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ