UserCookie バージョン 3.1 を有効にする (セキュリティセンター 2.0 で更新)

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:1分
  • インスタンスで有効になっている UserCookie のバージョンを管理して、ソースコード内の秘密キーのストレージを保護します。

    UserCookie v3 は、プロパティ: glide.ui.secure.cookies.use_kmf is disabledの場合にのみ生成されます。UserCookie v3 は、HMAC の秘密キーをソースコードに保存し、すべての顧客に対して同一であるため安全ではありません。これは、悪意のある攻撃者がこの 1 つの秘密キーを使用してユーザーセッションを乗っ取る試みの助けになる可能性があります。プロパティ glide.ui.secure.cookies.use_kmf を true に設定すると、UserCookie v3.1 が使用され、秘密キーが KMF などのセキュリティストレージに保存されます。

    詳細情報

    属性 説明
    構成名 glide.ui.secure.cookies.use_kmf
    構成タイプ システムプロパティ (/sys_properties_list.do)
    データタイプ ブール
    推奨値 true
    デフォルト値 false
    カテゴリ セッション管理
    セキュリティリスク
    • 重大度スコア:7.1
    • CVSS スコア:高
    • セキュリティリスクの詳細:これを false に設定すると、ハッシュベースのメッセージ認証コード (HMAC) の秘密キーがソースコードに格納されるため、セキュリティの脆弱性が発生します。
    依存関係と前提条件 なし