Webアプリケーションのセッション管理
アクセスしてきたユーザーごとにセッションIDを発行し、それとユーザー独自のデータを関連付けて管理する。(ユーザー識別情報そのものをやり取りしていると、個人情報の漏洩リスクが高まるため。)
セッションIDを盗聴や推測により奪取されると、セッションハイジャクされる可能性がある。
セッションIDの要件
- 一意なIDとすること。
- 推測されにくい乱数値とすること。
アクセスしてきたユーザーごとにセッションIDを発行し、それとユーザー独自のデータを関連付けて管理する。(ユーザー識別情報そのものをやり取りしていると、個人情報の漏洩リスクが高まるため。)
セッションIDを盗聴や推測により奪取されると、セッションハイジャクされる可能性がある。