セキュリティ実装技術(全74問中26問目)
No.26解説へ
Webシステムにおいて,セッションの乗っ取りの機会を減らすために,利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで,利用者は自分専用のPCにおいて,Webブラウザを利用しているものとする。
出典:平成30年春期 問43
- WebサーバにおいてセッションIDをディスクに格納する。
- WebサーバにおいてセッションIDを無効にする。
- WebブラウザにおいてキャッシュしているWebページをクリアする。
- WebブラウザにおいてセッションIDをディスクに格納する。
正解 イ問題へ
広告
解説
IPAで公開されているセキュアプログラミング講座では、セッション乗っ取りの機会を低減させるための予防策として「セッションタイムアウト」と「明示的なログアウト機能」を挙げています。
セッションIDを必要とするのはログイン中だけですから、ログアウトが要求された(セッションIDが不要になった)時点でWebサーバ側(可能であればWebブラウザも)のセッションIDを無効化し、それ以降は無効化されたセッションIDを拒否することで、セッション乗っ取りの機会を最小限に減らせます。
したがって適切な処理は「イ」です。
- セッションタイムアウト
- Webアプリケーションにはセッションタイムアウト機能を設ける。ユーザーはログアウト操作をすることを忘れてしまうことがある。
- 明示的なログアウトの機能
- Webアプリケーションには明示的なログアウトの機能を設ける。できれば、各ページでログアウト操作が行えると良い。
- Webサーバ側でセッションIDを確実に無効にする。その後同じセッションIDがクライアントから送られてきても受け付けない
- Webブラウザ側のセッションIDを消去する
セッションIDを必要とするのはログイン中だけですから、ログアウトが要求された(セッションIDが不要になった)時点でWebサーバ側(可能であればWebブラウザも)のセッションIDを無効化し、それ以降は無効化されたセッションIDを拒否することで、セッション乗っ取りの機会を最小限に減らせます。
したがって適切な処理は「イ」です。
広告