講演抄録/キーワード |
講演名 |
2019-03-05 10:30
ユーザ情報を用いた安全なセッション管理システムの提案 ○渡辺直人・今泉貴史(千葉大) IN2018-125 |
抄録 |
(和) |
HTTPはクライアントの識別ができないステートレスなプロトコルであり、
特定のクライアントと連続した通信を行うためにcookie等を用いてセッション管理を行っている。
多くのアプリケーションはcookieに含まれるセッションIDのみに基づいてクライアントの識別を行っているため、
cookieを盗んで悪用するセッションハイジャックという攻撃が起こってしまう。
そこで、User-Agent・IPアドレス・referer等の情報を用いてユーザを一意に識別し、安全にcookieを利用できるようにするセッション管理システムを提案する。 |
(英) |
HTTP is a stateless protocol, therefore a server can't identify a client.
The server manages a session using cookies to keep communicate with a specific client.
Since most web application identify a client only based on the session ID included in a cookie, a session hijacking is carried out.
We propose the session management system which identify the user using User-Agent, IP address, Referer and so on. |
キーワード |
(和) |
セッションハイジャック / Cookie / HTTP / / / / / |
(英) |
Session hijacking / Cookie / HTTP / / / / / |
文献情報 |
信学技報, vol. 118, no. 466, IN2018-125, pp. 247-252, 2019年3月. |
資料番号 |
IN2018-125 |
発行日 |
2019-02-25 (IN) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IN2018-125 |