情報処理振興事業協会(IPA)は8日、Webアクセスにおける経路のセキュリティやセキュアなセッション管理の必要性を訴えるWebサイトを掲載した。
この呼びかけは、7月に発表された独立行政法人産業技術総合研究所が発行したテクニカルレポート(AIST03-J00017)に基づいて行なわれているもの。テクニカルレポートでは、セッション管理のためにcookieを使用し、さらにSSL/TLSのような経路でセキュリティ保護を行なっているWebアプリケーションでは、cookieを「secureモード」で発行することが重要であると指摘している。
cookieを「secureモード」で発行する必要性について、IPAでは「secureモードでない通常のcookieは、SSL/TLSによる経路のセキュリティ保護を受けることができないから」としている。これは、同じWebサーバー上で、SSL/TLSを利用しているページとSSL/TLSを利用していない通常のページが存在している場合に発生する。
例えば、同一ドメイン内でSSL/TLSを利用したページと利用しないページがあり、訪問したユーザーがSSL/TLSを利用したページ(https://~)から使用しないページ(http://~)へ移動した場合、SSL/TLSを利用したページのcookieを、その後に訪れたSSL/TLSを利用しないページにも送ってしまう。これにより、通信を傍受した第三者にcookieを盗み見られる可能性が発生する。
対策としてIPAは2種類の方法を公開している。方法Aは、すべてのページをSSL/TLSを利用したページにする方法だ。セッション管理の必要な画面をすべてSSL/TLSにし、cookieにsecure属性を付与すれば問題は解決するという。
方法Bは、2つのcookieを使い分ける方法だ。サイト設計上、SSL/TLSと通常のページをまたがってセッション管理を行なわなければならない場合には、2つcookieを発行し、一方のcookieをsecure属性付き、もう一方をsecure属性無しにする。SSL/TLSを利用したページではsecure属性付きを利用し、利用しないページではsecure属性無しを利用するというものだ。この際に、SSL/TLSを利用しているページに、http://で始まるURLでアクセスされても表示しないようにページを作成する必要があるという。
【お詫びと訂正】 記事初出時、「また、Webサーバーに『cookieにsecure属性を付与する設定』がない場合など、この対策ができない場合には、回避策としてTCP80番ポートを閉じることでもこの問題を回避することができる」としておりましたが、その後独立行政法人産業技術総合研究所高木氏の報告により、「TCP80番ポートだけでなく、他のTCPポートも閉じなければならない」ことが判明致しました。ご迷惑をおかけした皆様にお詫びするとともに、ここに訂正させていただきます。
関連情報
■URL
情報処理振興事業協会(IPA)が警告しているサイト
http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html
( 大津 心 )
2003/08/11 14:17
- ページの先頭へ-
|