DocJp211: 既定でセッションをリクエスト IP アドレスに結び付ける

Title: 既定でセッションをリクエスト IP アドレスに結び付ける

この設定で [はい] を選択すると、ログイン画面の [ログイン情報をIPアドレスでエンコードする] チェックボックスが既定でオンになります。

メモ: このチェックボックスは、[ログイン情報を IP アドレスでエンコードする] チェックボックスを表示する設定で [いいえ] が選択されている場合は表示されません。

セッション情報にリクエスト IP アドレスを含めることにより、セキュリティをより強固にできます。TeamPage のサーバーは、リクエストを受信するたびにアクセス元 IP アドレスとセッションのそれとを比較し、一致しない場合はリクエストがそのセッションを使うことを禁止し、ユーザーは再ログインが必要になります。

セッションをリクエスト IP アドレスに結び付けると、仮に攻撃者にセッション情報を盗まれたとしても、そのログイン Cookie を他のコンピューターから利用できなくなり、いわゆる反射攻撃を防げます。

Attachments:

login.png

親記事に追加されている (1)

DocJp2002: ログイン設定

参照されている (4)

DocJp2002: ログイン設定 DocJp1228: サーバーセットアップ > 一般 DocJp1128: [ログイン情報を IP アドレスでエンコードする] チェックボックスを表示する (ログイン情報を IP アドレスでエンコードする)DocJp192: サーバーセットアップガイド

Article: DocJp211 (permalink)
Categories: :DocJp:セキュリティ
Date: 2009/10/26; 17時06分12秒 JST

Author Name: TeamPage サポート
Author ID: jpbo