基本情報技術者試験 ap-2018h30h-a 午前 問43: Web システムにおいて，セッションの乗っ取りの機会を減らすために，利用者のログアウト時に Web サーバ又は Web ブラウザにおいて行うべき処理はどれか。こ

問題本文

Web システムにおいて，セッションの乗っ取りの機会を減らすために，利用者のログアウト時に Web サーバ又は Web ブラウザにおいて行うべき処理はどれか。ここで，利用者は自分専用の PC において，Web ブラウザを利用しているものとする。

選択肢

• ア.Web サーバにおいてセッション ID をディスクに格納する。
• イ.Web サーバにおいてセッション ID を無効にする。
• ウ.Web ブラウザにおいてキャッシュしている Web ページをクリアする。
• エ.Web ブラウザにおいてセッション ID をディスクに格納する。

正解

イ. Web サーバにおいてセッション ID を無効にする。

解説

セッションの乗っ取りは、攻撃者がログイン状態を識別するセッション ID を盗み、それを使って正規利用者になりすますことで成立する。したがってログアウト時には、そのセッション ID をサーバ側で無効化し、以後どこから送られてきても使えなくしてしまうのが最も確実な対策となる。ID が有効なまま残っていると、盗まれた ID で再利用される余地が残るため、サーバ側でセッション ID を無効にするイが正解である。

選択肢ごとの解説

• ア.セッション ID をサーバのディスクに格納しても、その ID が有効なまま残っていれば乗っ取りの余地は消えず、むしろ漏えいリスクを残すため不適切。
• イ.正しい。ログアウト時にサーバ側でセッション ID を無効化すれば、たとえ ID が盗まれていても再利用できなくなり、乗っ取りの機会を確実に減らせる。
• ウ.ブラウザのページキャッシュ消去は表示内容の残留対策にはなるが、セッション ID 自体は無効化されないため、乗っ取りを防ぐ本質的な処理ではない。
• エ.ブラウザがセッション ID をディスクに保存すると、ログアウト後も ID が端末に残って漏えいの危険が高まり、乗っ取り対策としては逆効果である。