代わっとは?/ ノーローン
[ 969] 第3回 犯罪者に代わって操作させられる「セッション・フィクセーション」:ITpro
[引用サイト] http://pheedo.nikkeibp.co.jp/click.phdo?i=70d75a1733c1159b44fe68de75d90194
|
今回はセッションに関連する代表的なぜい弱性の一つである「セッション・フィクセーション」について解説しよう。 セッション・フィクセーションとは,セッションIDを詐取するのではなく,攻撃者が知っているセッションIDをユーザーに使わせて,後からユーザーになりすます攻撃のことである(図1)。クッキーとして有効なセッションIDを攻撃者によりセットされ,そのセッションIDがユーザー情報とひも付けられてしまう。 「ブラウザがアクセスするURL内のドメイン名がこれに後方一致(一部制限がある)する場合のみクッキーが送信される。これに後方一致しない場合は,不正なクッキーであると判断されブラウザにセットされない」 ただ,ネットスケープ仕様ではこの制限について触れてはいるものの,(1)仕様があいまい,(2)仕様が策定されてから時間が経過し,使用され得るドメイン名が変化してきている,(3)そもそも正しい規則が何であるかを定めることが難しい,といった状況にあり,ブラウザによって実装が違っている。例えば,トップ・レベル・ドメインを指定したクッキーはどのブラウザでも受け入れられないが,セカンド・レベル・ドメイン以降を指定したクッキーは,受け入れるブラウザとそうでないものがある。比較的メジャーと思われる.co.jpドメインでも,次のように実装のばらつきがある。どの実装が正しいという定義がないことが致命的な問題になっているのであろう。 というフォーマットでクッキーを送信し,サーバーは送られてきたドメイン属性が意図したものであるかを確認するというものである。ネットスケープ仕様のフォーマット こうした現状を踏まえた上で,セッション・フィクセーションの問題に対する解決策を挙げておこう。対策は,ログイン成功時に古いセッションIDを無効化し,セッションIDを再発行することである。 ログイン機能だけを意識すればいいなら,これが正統な対策と言えるだろう。この対策により,ログイン情報を保持した新しいクッキーはユーザーのブラウザにだけ通知され,攻撃者には未知の値となる。このため,なりすましは成立しない。ただ,セッション・フィクセーションの問題は,ログイン機能だけでは完結しないケースがある。この問題については,次回解説する。 安西 真人ユービーセキュア 技術本部 テクニカルサービス部 セキュアナレッジコンサルタント 兼 Webアプリケーション検査ツールVEX開発エンジニア 野村総合研究所(千手インフォメーションセンター) コストメリットに優れた運用管理ツールの導入が監視サービスの展開を支える 松下電器産業 パナソニック システムソリューションズ社 i-Proシリーズが牽引する映像監視セキュリティの進化 日本クアンタムストレージ 高まるデータプロテクションのニーズ いま,企業に求められる「砦」の構築法とは NTTコミュニケーションズ 迷惑メール対策はアウトソーシングサービスが有効 〜決め手は振り分け精度の高さ 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
ノーローンの最新サイト、 ノーローンの情報、 ノーローンの借り方申し込み方、 ノーローンの比較情報など、 ノーローンに関することのキャッシング総合情報サイト。
