Cosminexus V9 アプリケーションサーバ 機能解説 互換編

[目次][用語][索引][前へ][次へ]

6.8 グローバルセッションの制御方法が混在する場合のシステム構成

この節では,グローバルセッションの制御方法が混在する場合のシステム構成について説明します。なお,グローバルセッションの制御方法が混在しない場合のシステム構成については,マニュアル「アプリケーションサーバ システム設計ガイド」の「3.10 セッション情報の引き継ぎを検討する」を参照してください。

グローバルセッションの制御方法が混在するシステムでは,Webアプリケーションを制御方法ごとに分けるかどうかによって,システム構成および設定内容が異なります。

注意
URL書き換えによってセッションを制御する方法には,セッションハイジャックなどの脆弱性があるといわれています。URL書き換えを使用する場合,脆弱性への対策は,それぞれのシステムで確実に実施するようにしてください。
対策としては,次のようなものが考えられます。
  • HTTP Cookieを使用するWebアプリケーションでは,URL書き換えを抑止して,セッションIDをURLに付加しないようにする。
  • URL書き換えを実行するWebアプリケーションでは,HTTP CookieをサポートしているWebクライアントからのリクエストは処理しない。
なお,この節の説明は,URL書き換えでセッションを制御する場合の脆弱性について理解し,適切な対応をしていることを前提にした上で,次のシステム構成について説明しています。
  • HTTP Cookieを使用するWebアプリケーションと,URL書き換えを使用するWebアプリケーションを,それぞれ専用のWebアプリケーションとして使用する場合のシステム構成
  • HTTP Cookieを使用するWebアプリケーションと,URL書き換えを使用するWebアプリケーションを,専用のWebアプリケーションにはしないで,両方の制御方法で使用する場合のシステム構成
<この節の構成>
6.8.1 制御方法ごとにWebアプリケーションを分ける場合
6.8.2 制御方法ごとにWebアプリケーションを分けない場合