タイトルWebObjectsでの「HTTP-REFERER攻撃」に対応するための情報が公開カテゴリーサーバ, Tech Info Library-J, WebObjects
作成日2001/2/1 14:37:16作成者新居雅行
Tech Info Library-Jに、WebObjectsのセキュリティに関する問題と解決策についての文書が日本語で掲載されている。WebObjectsでは、URLにセッションIDを含めた形でアクセスを行うことが行われる。そのとき、アクセス中に別のサイトに移動したときに、移動先のサイトの側で移動前のURLが、HTTP-REFERERとして得られる。それをもとにすることで、第三者にセッションの割込みが可能となってしまうと言うもの。ただし、WebObjects固有のセキュリティホールではなく、セッションIDをURLに含める形でセッション管理をしているアプリケーションサーバやあるいはアプリケーションは他にもある。なお、WebObjectsでは10分でセッション自体がタイムアウトすることもあり、この点でセキュリティホールによって偶発的に第三者によるアクセスが可能になることはまずないと考えて良いだろう。
なお、TIL-Jの文書では対処方法として、POSTメソッドを利用した手法、クッキーを使う方法、セッション回数の制限、IPアドレスを制約する方法が示されているが、完全にセキュリティを確保できる方法ではないと注記されている。
このセキュリティに関する対処方法については、MDOnlineで【倉橋浩一、じつはWebObjectsで飯食ってます】のコーナーを担当しているテクニカル・ピットの倉橋浩一氏が、自身のページで解決策などを解説しているので、詳細はそちらも参照すると良いだろう。
◇WebObjectsのページ
 http://www.techpit.co.jp/WO/
関連リンク100452JO:WebObjects: HTTP-REFERER を利用した攻撃に対する脆弱性について