HTTPの基本的な技術 [情報セキュリティ]
メッセージヘッダ
Webサーバとクライアント間のデータ受け渡し手段
【GETメソッド】
【POSTメソッド】
Referrer
HTTPメッセージヘッダ(HTTPヘッダ)の一つであり、あるWebページにアクセスした際に、どのリンクをたどってきたのか確認できるように、リンク元のURLがセットされます。Referrerにセットされた情報をログに記録することで、Webサイトの管理者は、自分のサイトがどのリンクから参照されているのかを分析することが可能です。Referrerにはパラメタも含めたURLがセットされています。そのため、セッション管理情報やフォームからの入力データを、クエリストリングにセットしている場合には、Referrerのログからそれらの情報が漏洩する可能性があります。
クッキー(Cookie)
Webサーバが、アクセスしてきたクライアントに対して、ブラウザを通じて一時的にデータを書き込むことで、相手を識別したり、セッションの状態を管理したりする仕組みです。クッキーはWebサーバがHTTPヘッダにセットすることによって発行され、以降、そのサーバへのアクセス時には毎回自動的にHTTPヘッダに付加されます。但し、実際には後述のような制限もあります。
また、クッキーには以下の属性があり、Webサーバが発行する際に指定します。これらの属性を適切に設定することで、クッキーの流出や不正使用を制限することが可能となるため、セキュリティ対策上は非常に重要になります。
セッションIDの受け渡し手段
- Referer(Referrer):リンク元のURL情報
- Cookie:クライアントがWebサーバに提示するクッキー
- Contents-Type:送信するファイルや文字セットの種類
Webサーバとクライアント間のデータ受け渡し手段
【GETメソッド】
- 入力データやパラメタをURLの後ろに付加して送信する方法 (URLに付加するデータをクエリストリング又はURLパラメタと呼ぶ)
- 送信したデータは環境変数QUERY_STRINGに格納される
- 送信可能なデータはテキストのみ、サイズはURLエンコード状態で255文字まで
- URLから入力データを読み取られたり改ざんされる可能性がある
- 入力データがWebサーバのアクセスログに記録される
- Referreログによって入力データが漏洩する可能性がある
【POSTメソッド】
- 入力データやパラメタをメッセージボディにセットし、サーバの標準入力を通じて渡す方法
- 送信データのサイズに制限はない
- テキストデータ以外にバイナリデータの送信も可能
- 入力データがURLに含まれないため、GETメソッドよりも秘匿性が高い
- 入力データがWebサーバのアクセスログに記録されない →必要に応じてアプリケーション側でログを出力するようにする
Referrer
HTTPメッセージヘッダ(HTTPヘッダ)の一つであり、あるWebページにアクセスした際に、どのリンクをたどってきたのか確認できるように、リンク元のURLがセットされます。Referrerにセットされた情報をログに記録することで、Webサイトの管理者は、自分のサイトがどのリンクから参照されているのかを分析することが可能です。Referrerにはパラメタも含めたURLがセットされています。そのため、セッション管理情報やフォームからの入力データを、クエリストリングにセットしている場合には、Referrerのログからそれらの情報が漏洩する可能性があります。
クッキー(Cookie)
Webサーバが、アクセスしてきたクライアントに対して、ブラウザを通じて一時的にデータを書き込むことで、相手を識別したり、セッションの状態を管理したりする仕組みです。クッキーはWebサーバがHTTPヘッダにセットすることによって発行され、以降、そのサーバへのアクセス時には毎回自動的にHTTPヘッダに付加されます。但し、実際には後述のような制限もあります。
- 一つのクッキーには最大4,096バイトのデータを記録可能
- 一つのWebブラウザには最大300個のクッキーを保存可能
- 1台のWebサーバは同じコンピュータに対して最大20個のクッキーを発行可能
また、クッキーには以下の属性があり、Webサーバが発行する際に指定します。これらの属性を適切に設定することで、クッキーの流出や不正使用を制限することが可能となるため、セキュリティ対策上は非常に重要になります。
- 有効期限:expires = 日時
- 有効なドメイン:domain = ドメイン名
- 有効なディレクトリ:path = ディレクトリ名
- セキュア属性:secure
セッションIDの受け渡し手段
- クエリストリング(URLパラメタ)
- hiddenフィールド(ブラウザ画面上には表示されないHTMLフォーム上の隠しフィールド)
- クッキー
情報処理教科書 情報セキュリティスペシャリスト 2014年版 (EXAMPRESS)
- 作者: 上原 孝之
- 出版社/メーカー: 翔泳社
- 発売日: 2013/09/13
- メディア: 単行本(ソフトカバー)