読者です 読者をやめる 読者になる 読者になる
無料で使えるシステムトレードフレームワーク「Jiji」 をリリースしました!

・OANDA Trade APIを利用した、オープンソースのシステムトレードフレームワークです。
・自分だけの取引アルゴリズムで、誰でも、いますぐ、かんたんに、自動取引を開始できます。

Webアプリケーションのセッション管理

アクセスしてきたユーザーごとにセッションIDを発行し、それとユーザー独自のデータを関連付けて管理する。(ユーザー識別情報そのものをやり取りしていると、個人情報の漏洩リスクが高まるため。)
セッションIDを盗聴や推測により奪取されると、セッションハイジャクされる可能性がある。

セッションIDの要件

  • 一意なIDとすること。
  • 推測されにくい乱数値とすること。

セッションIDの受け渡し

セッションIDの受け渡し方法には次の3つがある。

  • Cookie
    • セッションIDをCookieに格納しやり取りする。
    • ×Cookieをoffにされたり、Cookieが使えない環境(携帯電話等)では使えない。
    • ×ローカルに保存されたCookieからIDを奪取される可能性がある。
      • →有効期間を0とし、ブラウザの終了とともに情報が破棄されるようにする。(→セッションクッキー)
    • ×他のWebサーバーからCookieを送り込まれる(サードパーティクッキーと呼ばれる)場合がある。
  • Hiddenフィールド
    • FormでHiddenフィールドを利用してセッションIDを受け渡す。
  • URLパラメータ
    • URLパラメータに追加して渡す。
    • ×refererフィールドとして遷移先サイトに通知してしまう可能性がある。
    • ×サーバーのログに記録される恐れがある。

盗聴防止のため、SSL等で暗号化した上でやり取りするのが望ましい。