Q&A
前提・実現したいこと
どちらの方法でも何らかの情報(多分Session_id)をクライアントのCookieに残さないと
ステートフルにはならないと思うんですが、その場合、セキュリティリスク的にはどのようにして
差が生まれてくるのでしょうか?
インメモリDB等サーバ側に残した方が安全と言われているのは知っていますが、
結局Session_idを元にしてコネクションを確立するので、それが盗聴されてしまえば一緒だと思えて
しまうのですが、どうなんでしょうか?
発生している問題・エラーメッセージ
`
エラーメッセージ
### 該当のソースコード ```ここに言語名を入力 ソースコード
試したこと
ここに問題に対して試したことを記載してください。
補足情報(FW/ツールのバージョンなど)
ここにより詳細な情報を記載してください。
回答3件
0
ベストアンサー
CookieStoreの現実的な問題は、「ログアウトができない」ということですね。
見かけ上は、クッキーを削除することによりログアウトしたように見せることができますが、サーバーサイドでセッション情報を管理するログアウト処理とは異なります。
まず、サーバーサイドでのセッション管理の場合ですが、ファイルなりDBなりインメモリDBなりに保存されたセッション情報そのものを削除すると、仮にセッションIDがあってもセッション情報は復元できません。
一方、CookieStoreはクッキーそのものに情報が入っているので、「サーバー側で削除」することは当然できないわけです。
なので、万一クッキーがなんらかの方法で入手されてしまったら、それを無効化する手段がありません。この場合、CookieStoreの暗号を解読しなくても、単にブラウザにセットするだけでセッションを再現できます。緩和策としては、セッション情報の中に有効期限を入れておけば、有効期限の後はアプリケーション的に無効にすることはできます。
CookieStoreの暗号が解読されてしまったら論外の結果になるわけですが、解読されない場合でも、セッションの無効化ができないのがつらい、ということになります。
ただし、そもそもクッキーが漏洩したらいずれの方法でもセッションハイジャックされるわけなので、すごく重大な問題とまでは言えません。現に、CookieStoreも使われているわけですしね。
投稿2019/05/13 11:48
編集2019/05/13 12:26
総合スコア11701
0
Session_idはドラえもんのポケットを開けるための鍵です。
ポケットの中身はドラえもんが管理していてドラえもんしか分かりません。鍵を持っている人も分かりません。ポケットの中には銀行の通帳や印鑑が入っているかもしれないけど、それもドラえもんしか分かりません。
Session_idの有効期限がアクセスする都度3分延長する仕様だとしましょう。
もしSession_idを盗んでも3分以内にドラえもんのところにたどり着いて銀行の通帳や印鑑を取り出さなければいけません。
しかし!
クライアント側に保存するものがSession_idだけではなくすべての情報だとすると!もうそこには通帳も印鑑もあるって事になる!盗まれたら大変だ!
助けてードラえもーん!
投稿2019/05/13 11:41
総合スコア170
0
結局Session_idを元にしてコネクションを確立するので、それが盗聴されてしまえば一緒だと思えて
しまうのですが
いえ、全く違います。Cookieはクライアント側で保存されるものですので、セッションデータまでCookieに書き込むと「Cookieだけでデータを解読してセッションの中身を知ることができる危険がある」「不適切なCookieをクライアント側で生成することで、適切でないセッションデータを作成する」などの行為ができてしまいます。
セッションの中身をサーバサイドで持つ場合、セッションデータがCookieとしてクライアントに送られることはありませんので、上に述べたような事態は起こりません。
(セキュリティとは別件ですが、Cookieはリクエストのたびに送受信されますので、リクエストの通信量がその分増加する、容量制限が厳しい、などの問題もあります)
投稿2019/05/13 11:18
総合スコア145184
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/05/14 04:35
2019/05/14 04:39
2019/05/14 05:12
2019/05/14 06:59