セキュリティ実装技術 (全74問中12問目)
No.12
Webシステムにおいて,セッションの乗っ取りの機会を減らすために,利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで,利用者は自分専用のPCにおいて,Webブラウザを利用しているものとする。
出典:令和3年春期 問44
- WebサーバにおいてセッションIDを内蔵ストレージに格納する。
- WebサーバにおいてセッションIDを無効にする。
- WebブラウザにおいてキャッシュしているWebページをクリアする。
- WebブラウザにおいてセッションIDを内蔵ストレージに格納する。
- [出題歴]
- 応用情報技術者 H30春期 問43
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
イ
解説
IPAで公開されているセキュアプログラミング講座では、セッション乗っ取りの機会を低減させるための予防策として「セッションタイムアウト」と「明示的なログアウト機能」を挙げています。
セッションIDを必要とするのはログイン中だけですから、ログアウトが要求された(セッションIDが不要になった)時点でWebサーバ側(可能であればWebブラウザも)のセッションIDを無効化し、それ以降は無効化されたセッションIDを拒否することで、セッション乗っ取りの機会を最小限に減らせます。
したがって適切な処理は「イ」です。
- セッションタイムアウト
- Webアプリケーションにはセッションタイムアウト機能を設ける。ユーザーはログアウト操作をすることを忘れてしまうことがある。
- 明示的なログアウトの機能
- Webアプリケーションには明示的なログアウトの機能を設ける。できれば、各ページでログアウト操作が行えると良い。
- Webサーバ側でセッションIDを確実に無効にする。その後同じセッションIDがクライアントから送られてきても受け付けない
- Webブラウザ側のセッションIDを消去する
セッションIDを必要とするのはログイン中だけですから、ログアウトが要求された(セッションIDが不要になった)時点でWebサーバ側(可能であればWebブラウザも)のセッションIDを無効化し、それ以降は無効化されたセッションIDを拒否することで、セッション乗っ取りの機会を最小限に減らせます。
したがって適切な処理は「イ」です。