UserCookie バージョン 3.1 を有効にする (Security Center 2.0 で更新)

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:1分

    • インスタンスで有効になっている UserCookie のバージョンを管理して、ソースコード内の秘密キーのストレージを保護します。

    UserCookie v3 は、property glide.ui.secure.cookies.use_kmf is disabled の場合にのみ生成されます。UserCookie v3 は、HMAC の秘密鍵をソースコードに保存し、すべての顧客に対して同一であるため、安全ではありません。これにより、悪意のあるアクターがこの1つの秘密鍵を使用してユーザーセッションを乗っ取ることができます。プロパティ glide.ui.secure.cookies.use_kmf を true に設定すると、UserCookie v3.1 が使用され、秘密鍵が KMF などのセキュリティストレージに保存されます。

    詳細情報

    属性 説明
    構成名 glide.ui.secure.cookies.use_kmf
    構成タイプ システムプロパティ (/sys_properties_list.do)
    データタイプ ブーリアン
    推奨値 true
    デフォルト値 false
    カテゴリ セッション管理
    セキュリティリスク
    • 重大度スコア:7.1
    • CVSS スコア:高
    • セキュリティリスクの詳細:これを false に設定すると、ハッシュベースのメッセージ認証コード (HMAC) の秘密キーがソースコードに格納されるため、セキュリティの脆弱性が発生します。
    依存関係と前提条件 なし