- 締切済み
セッションハイジャックについて
とあるサイトの話ですが、一度ログインすると(ログイン画面のみSSL) ログオフしない限りログインを維持しています。 前回閲覧から数日経っていようと。 確認したわけではないのではっきりとはわからないですが、恐らく セッションタイムアウトが設定されていないのかなと思っています。 以下のことを試してみました。 (1) Aのパソコン、Bのパソコンそれぞれそのサイトにログイン。 そのままブラウザを閉じる。 (2) Aのパソコンでログインパスワードを変更した。 (3) もう一度A,Bみにいくと当然のごとくログイン状態のままだった。 (4) 双方とも閲覧した(普通に閲覧可能だった)あとにブラウザを閉じ、 また開くとログオフ状態になっていた。 このサイトの脆弱性、及び危険性はどの程度なのでしょうか?
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- koi1234
- ベストアンサー率53% (1866/3459)
#2です >ログインした暦のある他のPCでそのままログインできていたのは >どういう理屈になるのでしょうか? ってことは最小化ではなくブラウザは 再起動してるということでいいんでしょうか? 通常であれば考えにくい状況だと思いますが 何か思い違い(操作ミス)とかって可能性ないですか? 細かく確認したわけでもないですしブラウザの挙動によるものかもわかりませんし どこのサイトの話かも分からないのであくまで想像になってしまいますので 何とも言えません
- SaKaKashi
- ベストアンサー率24% (755/3136)
大半のサイトはブラウザ終了時までしょうね。 そうじゃないサイトはcookieを使ってますし、cookieを使っていてもそれなりに有効期限を設定しているところが多いです。
- koi1234
- ベストアンサー率53% (1866/3459)
>(1) Aのパソコン、Bのパソコンそれぞれそのサイトにログイン。 > そのままブラウザを閉じる。 ここでの閉じる というのはブラウザ終了の意味・ 最小化の意味 どちらでしょうか? ブラウザ閉じてればセッションが維持され続けるということはありえないはずです (TCP/IPのプロトコル上セッションが終了します) 再起動時にセッションが維持されているように見える(思える)だけで その際に再認証されているだけだと思います ブラウザ閉じれば危険はありません ※ 最小化であれば維持されたままになります 共有PCなどはそういったことがあり得るので ブラウザをいったん終了してくださいといった注意書きなどが Q&A等にも掲載されているはずです
補足
なるほどありがとうございます。 詳しくもないのに中途半端な内容で申しわけありませんでした。 確かにその通りでした; しかし再認証ということであれば、別PCでログインパスワードを変えている のに、ログインした暦のある他のPCでそのままログインできていたのは どういう理屈になるのでしょうか?
- SaKaKashi
- ベストアンサー率24% (755/3136)
ログインしてブラウザが終了するまではOKなのでしょう。 異なるPCでログイン不可のチェックはしてないのです。 二重ログインを厳密にチェックすると、ログイン中にパソコンが壊れたら永遠にログインできないことになりかねず、解除は人手に頼ることになり、手間暇がかかります。 本人確認の問題もありますし。 特別に危険なことはないですが、ログアウトするようにするか、ブラウザを終了しましょう。
お礼
すいません、自分が一番知りたかったのは二重ログインではなくて、 セッションがいつまでも保持されていること。 そのお陰でパスワードを変更したにも関わらず旧パスワードで ログインしていた状態のままでログインが維持されてしまっていることです。 セッションがいつまで経っても保持されているということは セッションハイジャックができる機会も増えるのではという危惧です。
お礼
すいません、その通りでした; セッションの問題ではないですね。。。