今日は徳丸本の輪読会へ参加させていただきました！

難しくて話についていけないくなる事も多々ありましたが、途中途中で理解度確認＆解説を入れてくれるおかげでセッション管理について理解が深まりました！！

以下、本日の内容のざっっっくりしたメモです(本当はこれの1000倍は濃い内容)

メモ

・セッションハイジャックは、他人のセッション情報を使って他人になりすますこと。

 

・セッションハイジャックの方法

　・セッションIDの推測

　　日時やユーザーIDをもとにセッションIDを生成している場合、推測されてしまう可能性があります。

　　「〜〜のハッシュ関数使ってるっぽいぞ。登録日時を当てはめてみよう・・・」

　・セッションIDの盗み出し

　　ネットワーク的にセッションIDが盗聴されることがあります。(怪しい無線LANなど危険)

　・セッションIDの強制

 

・昔はURLでセッションを管理していた

・現在ではcookieでセッション情報を管理することがほとんど

 

・セッションハイジャックを防ぐ方法

　・セッション管理機構は自作しないでwebアプリケーションに備わっている機構を使う

　　Railsでの管理機構については以下のページに詳しくまとまっています。

Rails セキュリティガイド - Rails ガイド

　・URLではなくcookieでセッション情報を管理する

　・認証成功したタイミングでセッションIDを変更する

感想

セキュリティについての内容と同時に、歴史的な背景も解説してくださりとても楽しかったです！！