5/9

ログイン画面だけhttps化されてログイン後のページはhttpというサービスがあるのですが、http通信の部分でcookieを盗聴されたらセッションハイジャックされるリスクが高い、という認識は正しいですか?

ご認識は正しいです。 ただし、HTTP区間では個人情報は扱わず、たとえばショッピングカートの中身が見えるだけ、という状態はありえます。なので、セッションハイジャックできるから脆弱性なのか、仕様として許容している範囲なのかは分かりません。 HTTPとHTTPSを切り替えながらセッション管理する手法は、今や「伝統芸能」の部類で、処理がめんどうで開発コスト等が高くつき、かつセキュアでもない、というまったくメリットのない状況です。そのようなサイトはなるべく早く常時TLSに移行すべきですね。

スポンサーリンク

スポンサーリンク