Cookie のセキュリティーの確認
いくつかの cookie は、クライアント・ブラウザーで適切に保護されない場合があります。cookies を保護しないと、アプリケーションは中間者攻撃およびセッション・ハイジャック攻撃に対してぜい弱なままになります。この問題を修正するには、以下の予防手段を取ります。
*
常に SSL の使用を強制して、ワイヤー上で代行受信されている cookie のリスクを減らします。
*
Web アプリケーション・サーバーで、secure フラグおよび httponly フラグをすべての cookie に設定します。
*
secure フラグは、ブラウザーが HTTPS 接続のみを使用して cookie を送信するよう指示します。このフラグを設定する場合、相互に通信するすべてのアプリケーションで SSL を有効にする必要があります。
*
httponly フラグは、cookie がクライアント・サイドのスクリプトを介してアクセスされないようにします。
WebLogic でのフラグの設定
secure フラグおよび httponly フラグを設定するには、以下の手順を使用します。
*
詳しくは、WebLogic の資料を参照してください。
1.
Marketing Platform がデプロイされ、実行されている場合、それを停止し、アンデプロイします。
2.
Marketing Platform の WAR ファイルを抽出します。
3.
weblogic.xml ファイルを編集して、secure フラグおよび httponly フラグを設定します。
4.
Marketing Platform の WAR ファイルを再作成し、再デプロイ、および再始動します。
WebSphere でのフラグの設定
以下のようにして、secure フラグおよび httponly フラグを WebSphere 管理コンソールに設定します。
*
詳しくは、WebSphere の資料を参照してください。
Marketing Platform のアプリケーション・レベルで、以下を行います。
1.
「セッション管理」にナビゲートし、「Cookie を有効にする」をクリックします。
2.
「Cookie を HTTPS セッションに制限」および「セッション Cookie を HTTPOnly に設定して、クロスサイト・スクリプティング・アタックを阻止します」にチェック・マークを付けます。
3.
変更を保存して、適用します。
4.
Marketing Platform アプリケーションを停止して、再始動します。
Copyright IBM Corporation 2014. All Rights Reserved.