Q&A
回答ありがとうございました。
不要なタイミングで削除するのが望ましいのですね。ためになります。
現在Javaとjavascriptを使ってウェブアプリケーションを作っています。
セッション(あるいはクッキー)を使ってログイン情報を保持したいのですが、
セッションに情報を詰め込んだそのものはどこかのタイミングで破棄する必要があるのでしょうか?
それとも時間が経てば勝手に消えてくれるから気にする必要はないのでしょうか?
過去にセッションは消さないといけないと誰かがおっしゃっていたような気がして気になりました。
『java セッション 破棄』や『java セッション 破棄しないといけない』と検索をかけましたが、削除方法ばかりでイマイチピンとくるものがなくて困っています。
深い話ではなくて、単純にセッションでの実装経験があまりないため、セッション処理でやるべきことがわかっていないだけです。
もしお分かりになる方がいればお願い致します。
回答3件
0
ベストアンサー
セッションを破棄することとログアウトはほぼ同じ内容ですので、以下の過去記事が参考になるかと思います。
追記
結論としては、セッションは明示的に破棄しなくても重大な問題ではないが、破棄することが望ましいとされており、セッションを破棄する機能(ログアウト機能)がない場合、軽微ではあるが脆弱性とみなされる、というところです。
投稿2017/07/17 23:29
編集2017/07/18 02:08
総合スコア11705
0
セッション情報はサーバのリソースを消費するため、そのまま持たせ続けると不要になったものが居続けてリソースを圧迫します。不要になったタイミングで削除すべきです。
投稿2017/07/18 00:28
総合スコア12011
0
大昔のファミコンとかにあった復活の呪文みたいに、
適当なセッションIDを指定しながらページにアクセスしまくって、セッションを探すという方法がある。
セッションが生き残っていたら成りすましログイン成功。
悪意の第三者が銀行のセッション等でそれをやって、悪意のユーザーの口座にお金を振り込まれたらアウト!
…ね?考えようによっては危ないでしょ?
だからWebサイトの危険度に応じてセッションの削除タイミングは考える必要がある。
例えばAmazonみたいなところだと、住所やメルアドの設定を変更しようとした時に、
ログイン中であってももう一度パスワードを聞き返すみたいな対策してるね。
セッションを長く持たせて、あかんページだけ守るという作戦もあるから色々検討してみてね。
投稿2017/07/18 02:38
総合スコア21386
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/07/18 09:10