Webアプリケーションã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†
アクセスã—ã¦ããŸãƒ¦ãƒ¼ã‚¶ãƒ¼ã”ã¨ã«ã‚»ãƒƒã‚·ãƒ§ãƒ³IDを発行ã—ã€ãã‚Œã¨ãƒ¦ãƒ¼ã‚¶ãƒ¼ç‹¬è‡ªã®ãƒ‡ãƒ¼ã‚¿ã‚’関連付ã‘ã¦ç®¡ç†ã™ã‚‹ã€‚(ユーザーè˜åˆ¥æƒ…å ±ãã®ã‚‚ã®ã‚’ã‚„ã‚Šå–ã‚Šã—ã¦ã„ã‚‹ã¨ã€å€‹äººæƒ…å ±ã®æ¼æ´©ãƒªã‚¹ã‚¯ãŒé«˜ã¾ã‚‹ãŸã‚。)
セッションIDã‚’ç›—è´ã‚„推測ã«ã‚ˆã‚Šå¥ªå–ã•ã‚Œã‚‹ã¨ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒã‚¤ã‚¸ãƒ£ã‚¯ã•ã‚Œã‚‹å¯èƒ½æ€§ãŒã‚る。
セッションIDã®è¦ä»¶
- 一æ„ãªIDã¨ã™ã‚‹ã“ã¨ã€‚
- 推測ã•ã‚Œã«ãã„乱数値ã¨ã™ã‚‹ã“ã¨ã€‚
セッションIDã®å—ã‘渡ã—
セッションIDã®å—ã‘渡ã—方法ã«ã¯æ¬¡ã®3ã¤ãŒã‚る。
- Cookie
- セッションIDã‚’Cookieã«æ ¼ç´ã—ã‚„ã‚Šå–ã‚Šã™ã‚‹ã€‚
- ×Cookieã‚’offã«ã•ã‚ŒãŸã‚Šã€CookieãŒä½¿ãˆãªã„環境(æºå¸¯é›»è©±ç‰)ã§ã¯ä½¿ãˆãªã„。
- ×ãƒãƒ¼ã‚«ãƒ«ã«ä¿å˜ã•ã‚ŒãŸCookieã‹ã‚‰IDを奪å–ã•ã‚Œã‚‹å¯èƒ½æ€§ãŒã‚る。
- →有効期間を0ã¨ã—ã€ãƒ–ラウザã®çµ‚了ã¨ã¨ã‚‚ã«æƒ…å ±ãŒç ´æ£„ã•ã‚Œã‚‹ã‚ˆã†ã«ã™ã‚‹ã€‚(→セッションクッã‚ー)
- ×他ã®Webサーãƒãƒ¼ã‹ã‚‰Cookieã‚’é€ã‚Šè¾¼ã¾ã‚Œã‚‹(サードパーティクッã‚ーã¨å‘¼ã°ã‚Œã‚‹)å ´åˆãŒã‚る。
- Hiddenフィールド
- Formã§Hiddenフィールドを利用ã—ã¦ã‚»ãƒƒã‚·ãƒ§ãƒ³IDã‚’å—ã‘渡ã™ã€‚
- URLパラメータ
- URLパラメータã«è¿½åŠ ã—ã¦æ¸¡ã™ã€‚
- ×refererフィールドã¨ã—ã¦é·ç§»å…ˆã‚µã‚¤ãƒˆã«é€šçŸ¥ã—ã¦ã—ã¾ã†å¯èƒ½æ€§ãŒã‚る。
- ×サーãƒãƒ¼ã®ãƒã‚°ã«è¨˜éŒ²ã•ã‚Œã‚‹æã‚ŒãŒã‚る。
ç›—è´é˜²æ¢ã®ãŸã‚ã€SSLç‰ã§æš—å·åŒ–ã—ãŸä¸Šã§ã‚„ã‚Šå–ã‚Šã™ã‚‹ã®ãŒæœ›ã¾ã—ã„。
