tag:crieit.net,2005:https://crieit.net/tags/%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF/feed
「セッションハイジャック」の記事 - Crieit
Crieitでタグ「セッションハイジャック」に投稿された最近の記事
2019-09-18T23:41:27+09:00
https://crieit.net/tags/%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF/feed
tag:crieit.net,2005:PublicArticle/15407
2019-09-18T23:38:34+09:00
2019-09-18T23:41:27+09:00
https://crieit.net/posts/cookie
【セキュリティ】cookieとセッション、セッションハイジャックとは
<h1 id="cookieとセッション、セッションハイジャックとは"><a href="#cookie%E3%81%A8%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%80%81%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF%E3%81%A8%E3%81%AF">cookieとセッション、セッションハイジャックとは</a></h1>
<p><em>※あくまで個人の見解での説明であり、厳密の意味とは異なる場合があります。</em></p>
<h3 id="1. cookieとは"><a href="#1.++cookie%E3%81%A8%E3%81%AF">1. cookieとは</a></h3>
<p>途中まで画面に項目を入力していて、前の画面に戻らないといけないってなったときに全部やり直しっていうのはなかなかしんどい<br />
そんなあなたのためにウェブサーバとウェブブラウザ間での情報を保管してくれるのがcookie<br />
開きなおして大量の情報が保持されてる時の安心感</p>
<p>cookieを消すことができるのはウェブブラウザ側<br />
つまり見ようと思えばだれでも見られるところに情報がある<br />
個人情報やらクレジットカード情報やらは入力面倒だろうけど、保持されないほうがいいね</p>
<h3 id="2. セッションとは"><a href="#2.+%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%A8%E3%81%AF">2. セッションとは</a></h3>
<p>サーバが発行するのがセッション</p>
<p>ウェブサーバとウェブブラウザは忍者<br />
互いの合言葉を毎回確認しないと気が済まない<br />
サーバが番号を発行してセッションIDをつくり、ウェブブラウザ側がそのセッションIDを使っていればサーバのデータを閲覧更新削除できるやったー</p>
<p>違ってたらもちろんデータに手は出せない</p>
<p>でも悪い奴らはそのデータに手を出したい</p>
<p>そうさセッションIDが分かれば悪さができてしまうのだ</p>
<h3 id="3. セッションハイジャックとは"><a href="#3.++%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF%E3%81%A8%E3%81%AF">3. セッションハイジャックとは</a></h3>
<p>ハイジャックってのは、飛行機乗っ取りとかでよく聞く<br />
セッションハイジャックはサーバデータをなりすましてもってっちゃう<br />
セッションIDを推測やら盗聴やらでゲットできちゃったらデータはおしまい</p>
<h3 id="4. セッションハイジャックを防ぐには?"><a href="#4.++%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF%E3%82%92%E9%98%B2%E3%81%90%E3%81%AB%E3%81%AF%EF%BC%9F">4. セッションハイジャックを防ぐには?</a></h3>
<p>忍者は必要<br />
ただし忍者にも複雑なセッションIDにも限界はある<br />
門番とか関所とかも準備しとこう</p>
<p>おわり</p>
じゅりぽぽ