検索
連載

実は厄介、ケータイWebのセッション管理再考・ケータイWebのセキュリティ(3)(3/3 ページ)

“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部)

[徳丸浩,京セラコミュニケーションシステム株式会社] PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

現状では困難なセッションIDの固定化対策

 セッションIDの固定化に対処する方法としては、ログイン時にセッションIDを変更することが有効です。PHPの場合は、以下のようにしてセッションIDを変更することができます。

session_start();
session_regenerate_id(TRUE);

 しかし、この方法では、ログインしていない状態でのセッションIDの固定化問題には対処できません。ログイン前のセッションIDの固定化に対処することは難しいのが現状です。以下にいくつかの方法を紹介します。

  • ログイン前にはセッションを使わない

 ログイン前にはセッション管理機構を使わずに、hiddenパラメータによりデータを引き回しする方法があります。ログイン前のセッションIDの固定化に対処する方法としては唯一の確実な方法です。

  • セッションIDをCookieに保持する

 セッションIDをCookieに保持すると、ブラウザなどに脆弱性がない限り、セッションIDの固定化は発生しません。このため、Cookieが利用できる端末ではCookieにセッションIDを保持することにより、セッションIDの固定化を起こりにくくすることができます。

 Cookieが使える端末ではCookieにセッションIDを保持し、Cookieが使えない場合のみセッションIDをURLに保持するためには、PHPの場合、以下の設定が有効です。

session.use_cookies = 1
session.use_only_cookies = 0
session.use_trans_sid = 1

 将来、Cookie未対応の端末が少なくなったタイミングで、セッションIDをCookieのみに保持するようにするとよいでしょう。その場合は、php.iniの設定を以下のように変更するだけで対応できます。

session.use_cookies = 1
session.use_only_cookies = 1
session.use_trans_sid = 0

検索サイトへの登録防止検索サイトへの登録防止

 「検索サイトを起点としたセッションIDの固定化」で紹介したように、検索サイトを起点としてセッションIDの固定化が発生する可能性があります。

 検索サイトでは、クローラと呼ばれるプログラムがサイトを巡回してサイトの情報を収集しています。そこで、クローラからのアクセスに対しては、セッションIDを出さないことにより、セッションID付きのURLが検索サイトに登録される事態をある程度防ぐことができます。

 しかし、他のサイトからセッションID付きでリンクされている場合には、セッションID付きのURLが検索エンジンに登録される場合があるので、確実な方法とはいえません。

最終的にはCookie移行への準備を

 URLにセッションIDを埋め込むことによって起こる、RefererからのセッションID漏えいとセッションIDの固定化という2つの問題を紹介しました。

 セッション管理はWebアプリケーションの基本ですが、一部の携帯電話向けブラウザがCookieをサポートしていないために、安全なWebアプリケーションの開発が難しくなってしまうのは残念なことです。

 2年ほど前までは、携帯電話向けWebサイトのほとんどがCookieを使わずにサイト開発していたようです。しかし最近では、携帯電話向けWebアプリケーションでもCookieを利用するサイトが増えてきました。また、前回紹介したように、NTTドコモの携帯電話が2009年夏モデル以降でCookieに対応するなど、対応端末も増えてきています。まだ完全にCookieを必須とすることは難しいかもしれませんが、今のうちにCookie完全移行に向けた準備をしておくとよいでしょう。

筆者紹介

京セラコミュニケーションシステム株式会社
プラットフォーム事業本部 技術顧問

HASHコンサルティング株式会社
代表取締役

徳丸 浩(とくまる ひろし)

 1985年京セラ株式会社入社、1995年京セラコミュニケーションシステム株式会社(KCCS)転籍、2008年HASHコンサルティング株式会社設立。現在、京セラコミュニケーションシステム株式会社 プラットフォーム事業本部 技術顧問を兼務。システム開発の経験を経て、2004年からWebセキュリティのサービスを開始。特にケータイWebサイトのセキュリティについては早くから着眼し、多くの講演、寄稿を手がける。

HASHコンサルティングを立ち上げてからは、企業のWebサイト開発のコンサルティングなどにも幅広く携わる。

最近、特に注目されているWAFについては、多くの実証実験を手がけ、自身のブログでもWAFについての見解を述べている。

▼徳丸浩の日記
http://www.tokumaru.org/d/

▼KCCSセキュリティサイト
http://www.kccs.co.jp/security/index.html


「次回」へ


「再考・ケータイWebのセキュリティ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  2. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  3. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  6. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. Microsoftが注意喚起 「クイックアシスト」を悪用した「テクニカルサポート詐欺」の手口、対策とは
  9. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  10. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
ページトップに戻る