応用情報技術者試験令和3年春午前問44 解説付き過去問

問題

Webシステムにおいて、セッションの乗っ取りの機会を減らすために、利用者のログアウト時にWebサーバ又はWebブラウザにおいて行うべき処理はどれか。ここで、利用者は自分専用のPCにおいて、Webブラウザを利用しているものとする。

WebサーバにおいてセッションIDを内蔵ストレージに格納する。

WebサーバにおいてセッションIDを無効にする。

WebブラウザにおいてキャッシュしているWebページをクリアする。

WebブラウザにおいてセッションIDを内蔵ストレージに格納する。

この問題は、Webシステムにおけるセッションの安全性を確保するための適切な処理について問うものです。具体的には、利用者がログアウトする際にセッションの乗っ取りを防ぐ方法に焦点を当てています。

セッションの役割とリスク
セッションは、Webサーバが個々のユーザーを識別するために使用する一時的な情報であり、セッションIDを通じて管理されます。セッションIDが第三者に漏れることは、そのユーザーとしてのアクセス権を乗っ取られるリスクを伴います。したがって、セッションの管理はWebセキュリティの重要な部分です。
ログアウト時のセッション管理
利用者がログアウトする際には、そのセッションIDを無効にすることが重要です。これにより、セッションIDが漏洩した場合でも、無効化されているため他人に使用されることはありません。WebサーバがセッションIDを無効にする処理は、セッションの乗っ取りを効果的に防ぐための基本的で最も重要なステップです。
セッションIDの保管とキャッシュのクリア
セッションIDを内蔵ストレージに格納する選択肢や、ブラウザのキャッシュをクリアする選択肢は、直接的にセッションの乗っ取りリスクを減少させるものではありません。特に、セッションIDが既に無効になっている場合、これらの処理は追加のセキュリティを提供するものではなく、主にプライバシー保護やデータ整合性の観点から有用です。

したがって、ログアウト時に最も効果的なセキュリティ対策は「WebサーバにおいてセッションIDを無効にする」ことです。これによりセッションの乗っ取りリスクが最も効果的に低減されます。