応用情報技術者 2018年 春期 午前2 問43
問題文
Webシステムにおいて、セッションの乗っ取りの機会を減らすために、利用者のログアウト時にWebサーバ又は Webブラウザにおいて行うべき処理はどれか。ここで、利用者は自分専用の PC において、Webブラウザを利用しているものとする。
選択肢
ア:WebサーバにおいてセッションIDをディスクに格納する。
イ:WebサーバにおいてセッションIDを無効にする。(正解)
ウ:Webブラウザにおいてキャッシュしている Webページをクリアする。
エ:WebブラウザにおいてセッションIDをディスクに格納する。
セッション乗っ取り防止のためのログアウト処理【午前2 解説】
要点まとめ
- 結論:ログアウト時にはWebサーバ側でセッションIDを無効化することが最も重要です。
- 根拠:セッションIDが有効なままだと、第三者に盗まれた場合に不正アクセスされるリスクが高まります。
- 差がつくポイント:単にブラウザのキャッシュや保存をクリアするだけでは不十分で、サーバ側のセッション管理が鍵となります。
正解の理由
イ: WebサーバにおいてセッションIDを無効にする。が正解です。
ログアウト時にサーバ側でセッションIDを無効化すれば、そのIDは使えなくなり、乗っ取りリスクを大幅に減らせます。セッションIDはサーバが管理するため、サーバ側での破棄が最も確実な対策です。
ログアウト時にサーバ側でセッションIDを無効化すれば、そのIDは使えなくなり、乗っ取りリスクを大幅に減らせます。セッションIDはサーバが管理するため、サーバ側での破棄が最も確実な対策です。
よくある誤解
ブラウザのキャッシュや保存データを消せば安全と思いがちですが、サーバ側でセッションIDが有効な限り乗っ取りは防げません。
また、セッションIDをディスクに格納することは管理のためであり、乗っ取り防止策ではありません。
また、セッションIDをディスクに格納することは管理のためであり、乗っ取り防止策ではありません。
解法ステップ
- セッションIDの役割を理解する(利用者の認証状態を管理)
- セッション乗っ取りのリスクを把握する(IDが盗まれると不正アクセスされる)
- ログアウト時に必要な処理を考える(IDを無効化し再利用を防ぐ)
- 選択肢を比較し、サーバ側でIDを無効化する方法を選ぶ
選択肢別の誤答解説
- ア: セッションIDをディスクに格納するのは管理上の処理であり、乗っ取り防止にはならない。
- イ: 正解。サーバ側でセッションIDを無効化し、再利用を防ぐ。
- ウ: ブラウザのキャッシュクリアはページ情報の削除であり、セッションIDの管理とは別問題。
- エ: ブラウザにセッションIDをディスクに保存すると、盗まれるリスクが増えるため逆効果。
補足コラム
セッション管理はWebセキュリティの基本です。セッションIDはCookieなどでクライアントに渡されますが、サーバ側で適切に管理し、ログアウト時には必ず無効化することが推奨されます。加えて、HTTPSの利用やセッション固定攻撃対策も重要です。
FAQ
Q: セッションIDをブラウザに保存しないとどうなる?
A: 保存しなければ利便性は下がりますが、盗難リスクは減ります。多くはCookieで管理し、サーバ側で無効化が基本です。
A: 保存しなければ利便性は下がりますが、盗難リスクは減ります。多くはCookieで管理し、サーバ側で無効化が基本です。
Q: キャッシュクリアだけでセッション乗っ取りは防げますか?
A: いいえ。キャッシュはページ情報の保存であり、セッションIDの有効性には影響しません。
A: いいえ。キャッシュはページ情報の保存であり、セッションIDの有効性には影響しません。
関連キーワード: セッション管理、セッションID, ログアウト、Webセキュリティ、セッション乗っ取り、Cookie, 不正アクセス防止
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!