HTTP セッション識別子をローテーションする
glide.ui.rotate_sessions プロパティを使用して HTTP セッション識別子のローテーションを有効にし、セキュリティの脆弱性を軽減します。
認証後に非認証ユーザーのセッション ID が変更されない場合、Web アプリケーションはセッション固定化攻撃に対して脆弱になります。悪意のあるユーザーが非認証セッションを開始し、関連するセッション ID を被害者に提供する可能性があります。被害者が認証されると、悪意のあるユーザーがその認証済みセッションを共有するようになります。
詳細情報
| 属性 | 説明 |
|---|---|
| プロパティ名 | glide.ui.rotate_sessions |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| カテゴリ | セッション管理 |
| 目的 | より安全なセッション認証を実現すること |
| 推奨値 | true |
| デフォルト値 | true |
| セキュリティリスク評価 | 8.8 |
| 機能への影響 | この修正では、ユーザーが非認証ページから認証済みページに移動したときに SessionID が変更されました。
|
| セキュリティリスク | (中) SessionID は、ブラウザーでセッションステータスを維持することによって、インスタンスユーザーを処理および認証するために使用されます。したがって、SessionID は機密データと見なされ、デフォルトで安全である必要があります。セッションローテーションは、ユーザーが非認証ページから認証ページへ移動するたびに SessionID の変更を適用するセキュリティコントロールです。 |
| 参照 |
システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。