ASP.net MVC セッションハイジャック対応

2013/03/25 19:03

このQ&Aのポイント

ASP.NET MVC 2.0で運用保守しているモバイル会員向けのサイトにおいて、セッションIDの表示方法がセキュリティ上の問題となったため、セッションIDの変更方法を探しています。
従来のWeb.Configでは、セッションIDがURLに表示されるように設定されていましたが、セキュリティ上の問題が指摘されたため、セッションIDの変更を実施しました。
現在、スマートフォンやPCからのアクセスではセッションIDがURLに表示されず、ログイン前後でセッションIDが変わることが確認できます。しかし、クッキー非対応の携帯ではセッションIDが変更されない問題が発生しています。クッキー非対応の端末でもセッションIDを変更する方法についてご教示いただけないでしょうか？

ASP.net MVC セッションハイジャック対応

どうにも困ってしまい初めて質問させていただきます。現在、ASP.NET　MVC 2.0で運用保守しているモバイル会員向けのサイトがあります。従来のWeb.Configは <sessionState mode="InProc" timeout="30" regenerateExpiredSessionId="true" cookieless="true"/> のようにしており、URLにセッションIDが表示されるように設定されていました。これがセキュリティ上問題ということで、ログインの前後でセッションIDを変更することになり、ログイン処理時に Session.Abandon(); を実行して、セッションを破棄して、ログイン後のページでセッションIDが変更するようにしておりこれはうまく想定通りにいっていました。その後、最近スマフォのアクセスの方が増えてきたこともあり、極力URLにセッションIDは表示したくないということでWeb.Configを以下のように変更しました。 <sessionState mode="InProc" timeout="30" regenerateExpiredSessionId="true" cookieless="AutoDetect"/> スマフォやPCからのアクセスでは想定通りURLにセッションIDが表示されることもなく、ログイン前後でセッションIDが変わりました。しかし、クッキー非対応の携帯で確認すると、URLに表示されるセッションIDがログイン前後で変更されなくなってしまいました。 iモードシュミレータを使いデバッグ実行で直接セッションIDを確認しても、やはり変わっていませんでした。 AutoDetectでクッキー非対応の端末でセッションIDを変更する方法はあるのでしょうか？いろいろ調べたのですが直接関係するような内容は見つけることができず、質問させてもらいました。よろしくお願いします。

ariano343
お礼率100% (1/1)

Microsoft ASP
回答数1
ありがとう数1

みんなの回答 （1）
専門家の回答

質問者が選んだベストアンサー

ベストアンサー

onos
ベストアンサー率81% (127/155)

2013/03/26 23:28 回答No.1

AutoDetectの説明としてこんなのがありますね。 http://www.atmarkit.co.jp/fdotnet/aspnetmobile/aspnetmobile04/aspnetmobile04_02.html で、ここで「ブラウザをデバイス・プロファイルで識別した結果による。」というのがくせもの。デバイス・プロファイルってなんだ？という話になってきます。で、その実体は、と。。。 http://www.atmarkit.co.jp/fdotnet/aspnetmobile/aspnetmobile02/aspnetmobile02_03.html このあたりかな？ブラウザ定義ファイルというのがありまして、、、とで、この定義ファイル、、、当初は便利だったんですが、その後とくに日本の携帯に対応した形でのメンテナンスがされてない、はず。この定義ファイルにうまくひっかからないと想定していない動きになってもおかしくないです。まあ、もしかすると本当の原因はここじゃないのかもしれませんが、このあたりをきちんとおいかけないとASP.NETが各種の端末にたいしてどう動いているかは判断できません。携帯というかフィーチャーフォン、ですか。それ向けにはもとのとおりcookieless="true"としたページを提供して、PC／スマホ向けには別のページを提供する、というのが現実的な解なのではないかと考えています。

質問者