jsessionidの再利用を防ぐ方法jsessionidの例jsessionidの例www.example.com/user/feedback;jsessionid=sdfererefjjefeife33f:1他のブラウザまたは同じタブの新しいタブブラウザ。jsessionidの再利用の防止
アプリケーションは、あなたは、WebSphere Application 6.1を参照してURL書き換えを無効にすることができ
jsessionidの再利用を防ぐ方法jsessionidの例jsessionidの例www.example.com/user/feedback;jsessionid=sdfererefjjefeife33f:1他のブラウザまたは同じタブの新しいタブブラウザ。jsessionidの再利用の防止
アプリケーションは、あなたは、WebSphere Application 6.1を参照してURL書き換えを無効にすることができ
を助けてくださいのWebSphere 6.1
上で実行されている支柱1.1上に構築されhttp://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/uprs_rsession_manager.html。
WebSphere Application Serverは、通常、HTTPセッション・アクセスの許可を強制しません。有効なセッション識別子を持つパーティーは、どのセッションにもアクセスできます。セッション識別子は推測されにくいが、他の手段でセッション識別子を取得することは可能である。このような攻撃の危険性を減らすには、セッションセキュリティを有効にすることを検討する必要があります。この設定は、ボックスラベルされたセキュリティ統合をチェック
サーバー>サーバー名> Webコンテナ>セッション管理
で構成されています。これが完了すると、WebSphere Application Serverはどのユーザー(存在するLTPA信任状によって決定される)がどのセッションを所有しているかを追跡し、そのユーザーのみがそのセッションにアクセスできるようにします。
この作業を行うには、WebSphere Application Serverが提供する認証および認可メカニズムを使用する必要があります。つまり、アプリケーションセキュリティを有効にしてJavaEE security rolesを使用する必要があります。