2019-09-18に更新

【セキュリティ】cookieとセッション、セッションハイジャックとは

cookieとセッション、セッションハイジャックとは

※あくまで個人の見解での説明であり、厳密の意味とは異なる場合があります。

1. cookieとは

途中まで画面に項目を入力していて、前の画面に戻らないといけないってなったときに全部やり直しっていうのはなかなかしんどい
そんなあなたのためにウェブサーバとウェブブラウザ間での情報を保管してくれるのがcookie
開きなおして大量の情報が保持されてる時の安心感

cookieを消すことができるのはウェブブラウザ側
つまり見ようと思えばだれでも見られるところに情報がある
個人情報やらクレジットカード情報やらは入力面倒だろうけど、保持されないほうがいいね

2. セッションとは

サーバが発行するのがセッション

ウェブサーバとウェブブラウザは忍者
互いの合言葉を毎回確認しないと気が済まない
サーバが番号を発行してセッションIDをつくり、ウェブブラウザ側がそのセッションIDを使っていればサーバのデータを閲覧更新削除できるやったー

違ってたらもちろんデータに手は出せない

でも悪い奴らはそのデータに手を出したい

そうさセッションIDが分かれば悪さができてしまうのだ

3. セッションハイジャックとは

ハイジャックってのは、飛行機乗っ取りとかでよく聞く
セッションハイジャックはサーバデータをなりすましてもってっちゃう
セッションIDを推測やら盗聴やらでゲットできちゃったらデータはおしまい

4. セッションハイジャックを防ぐには?

忍者は必要
ただし忍者にも複雑なセッションIDにも限界はある
門番とか関所とかも準備しとこう

おわり


じゅりぽぽ

Web系SE APエンジニア Jboss

Crieitは個人で開発中です。 興味がある方は是非記事の投稿をお願いします! どんな軽い内容でも嬉しいです。
なぜCrieitを作ろうと思ったか

また、「こんな記事が読みたいけど見つからない!」という方は是非記事投稿リクエストボードへ!

こじんまりと作業ログやメモ、進捗を書き残しておきたい方はボード機能をご利用ください!

ボードとは?

関連記事

コメント