第7回 基礎のキソ、エブリバディ・セッション管理!
杉山 俊春
株式会社ユービーセキュア
技術本部 VEXグループ リーダー
兼 セキュリティオーディットコンサルタント
2008/10/21
| Webアプリケーションでログイン管理は当たり前。その裏にあるのは基本のセッション管理です。これを間違って覚えてしまうと、クロスサイトリクエストフォージェリなどの脆弱(ぜいじゃく)性を埋め込むことになり……。クウたちと一緒に正しいセッション管理を学ぼう(編集部) |
勉強、勉強、また勉強!
クウは、いつものようにジュンとメッセンジャーで会話をしていた。
@IT messenger v2.01(beta) |
ジュン:……みたいな感じでさー。 クウ:なるほど〜。 ジュン:あー。そろそろ寝ないとだ。 クウ:そうっすねー。もうこんな時間だ。 ジュン:あ、そうだ。今度また勉強会やるからおいでよー。 クウ:おお。ぜひぜひ〜。 ジュン:知り合いとかに興味ありそうな人がいたら連れてきてくれるとうれしいな。 クウ:おお。そしたら、ちょっと声を掛けてみます! ジュン:ほいじゃ。詳しいことは後でメールしとくよー。おやすみー。 クウ:了解っす。おやすみなさい。 |
しばらくしてクウがメールチェックをすると、ジュンから勉強会の案内が来ていた。勉強会自体はセキュリティ全般を扱っており、頻繁に何度も開催されているようだった。今回はWebアプリケーションに関連する話があるようなので、ジュンがクウに声を掛けたようだ。案内によると、勉強会が開催される日は土曜日のようなので、仕事が休みであるクウは参加ができそうであった。ほかの人も連れて行ってもよいということなので、クウは会社の人と一緒に行くことにした。
この業界は狭いのです
次の日、クウは出社すると早速ナツを勉強会に誘ってみることにした。
| クウ | 「ナツさん。おはようございます」 |
| ナツ | 「おはよー」 |
| クウ | 「いきなりですけど、来週の土曜日に一緒に勉強会に行きませんか?」 |
| ナツ | 「なに? なんの勉強会?」 |
| クウ | 「セキュリティ一般の勉強会なんですけど、今度のはWebアプリのセッション管理がテーマらしいんですよ」 |
| ナツ | 「ほう。なるほど……。そういうの最近行ってないし、久しぶりに行ってみようかな」 |
| クウ | 「おおー、ぜひ一緒に行きましょう!」 |
ナツは、以前はこういった勉強会に参加していたらしいが、一緒に参加していた友人が行かなくなったのもあり、だんだん疎遠になってきたとのことだった。
勉強会当日、クウとナツは会場近くの喫茶店で落ち合い、軽めの食事を済ませてから勉強会の会場へと向かった。
| ナツ | 「勉強会かぁ。久しぶりだなぁ。ちょっと楽しみ」 |
| クウ | 「楽しみですねぇ〜」 |
2人は会場の建物へと入り、受付をすることにした。受付では、前回クウが勉強会に参加したときと同様に、ジュンが受付をしていた。
| ナツ | 「あー!」 |
| ジュン | 「ん? ……あー!」 |
| ナツ | 「こんなとこで何してんの!」 |
| ジュン | 「ナッちゃんこそ何をしてんの!」 |
| クウ | 「あれ……。2人とも知り合いだったんですか?」 |
| ナツ | 「うん。結構古い知り合いかな」 |
| ジュン | 「まさか、ここで会うとは思わなかった」 |
| ナツ | 「私は、なんとなくいるかもなーって気はしてたけど(笑)」 |
| ジュン | 「受付しなきゃいけないからいまは無理だけど、後で話そうねー」 |
クウとナツは受付を済ませると、空いている席に着いた。ナツの話によると、ジュンは以前にいた会社の同僚らしく、長い間一緒に働いていたことがあったとのことだった。
| クウ | 「まさか、ナツさんがジュンさんと知り合いだとは思ってもみなかったですよ」 |
| ナツ | 「この業界も結構狭いからねー。ほかにも前に見たことがある気がする人がいるー」 |
| クウ | 「ふむふむ。なるほどー」 |
| ナツ | 「あ、勉強会始まるみたいだよ」 |
| 司会 | 「それでは時間になりましたので早速……」 |
1/3 |
 |
| Index | |
| 基礎のキソ、エブリバディ・セッション管理! | |
 |
Page1 勉強、勉強、また勉強! この業界は狭いのです |
| Page2 セッション管理はHTTPの基本 |
|
|
Page3 間違った認識は脆弱性のモト――でも何が間違いなの? |
もいちどイチから! HTTP基礎訓練中 バックナンバー
 |
もいちどイチから! HTTP基礎訓練中 連載インデックス |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。