Webシステムの方式設計をする際に、わりと悩むのがアプリケーション・サーバのセッション(session)の保存先です。アプリケーションサーバとは、TomcatやJBoss,IISやRuby on Railsなどで利用するUnicornやPassengerなどです。そもそもHTTPの基本仕様がステートレスな為、状態を保持する為にはどこかに状態を保持する必要があります。その解決策がセッションになります。そこでセッションの保存戦略を考える必要があるのですが、アプリケーションサーバやサイトの用途や性格、扱うデータの気密性・重要性によっても変わってきます。 それ以前にセッションの保存先のことの呼び方の定番が何かすら解らなかったりします。セッション・ストアとかセッション・ストレージとか、はたまたセッション・マネージャーとか。今回は、セッション・ストアで統一します。 主なセッションストアの種類と保存戦略
最近、セッションフィクセイション脆弱性に対する関心がなぜか高まっています。同脆弱性は割合地味な脆弱性であり、話題になることはあまりありません。そこで、関心の高いこの時期に、セッションフィクセイション脆弱性の影響を受けやすいサイトについて説明し、注意を喚起したいと思います。 セッションフィクセイション脆弱性とは セッションフィクセイション(セッションIDの固定化)脆弱性は、なんらかの方法で利用者(被害者)のブラウザ上でセッションIDを強制的に指定して、その後利用者がログインしたタイミングで、攻撃者が「ログイン済みのセッションID」を知ることができるという脆弱性です。「安全なウェブサイトの作り方(改訂第五版)」P17から図を引用します。 図の「2.何らかの方法で自分が取得したセッションIDを利用者に送り込む」手法は、安全なウェブサイトの作り方では説明されていません。そこで、以下に「セッションI
Railsを使っていて自分で直接cookieを設定するという状況はほとんどなく、大抵はsessionをハッシュ感覚で、便利に利用してきた。Rails2.0以降はsessionの保存先はデフォルトでcookieになり、そのまま利用する限りcookieの有効期限は空欄のままなので、ブラウザを終了するまでsessionは保持されることになる。そして、次回ブラウザを起動すると、期限切れのcookie(その中にsessionが保存されている)は削除されている。 ほとんどの場合、上記デフォルト設定のまま使っていたか、またはrestful_authenticationなどに頼りきりだったので、いざ自分でsessionに有効期限を設定しようとした時、苦労してしまった。とても基本的なことであるのに...。 config/environment.rbでの設定 2009-01-01 00:00:00まで有効にし
先日ペコリンという Web サービスを公開したのですが、これが初めての WordPress との複合会員向けサービスだったためか、ログインが途中で切れたり、記事投稿時のリダイレクトがかかるタイミングなどで SESSION が切れてしまうことがありました。 しかし Twit Delay では長期的にログインが保持されていたり、mixi とかではログイン時間を指定できたりするので、なんとかできるものだろうと考えていたら Twitter で教えてもらいましたのでまとめておきます。 SESSION だけを使ったログインの保持では長期ログインは不可 私は今までログインの保持は以下のようにしていました。 1 2 3 4 5 <?php ini_set('session.gc_maxlifetime', 60*60*24); ini_set('session.gc_divisor', 10000); s
tomcat セッション(PersistentManager, StandardSession)のデバッグ 概要 web アプリケーションの負荷試験などを行う際、tomcat のセッションの入出力状態をモニターしたくなることがある。 また、Hibernate + Seasar + Wicket でアプリケーション構築時、セッションのデシリアライズがうまくいかないことがあり、tomcat の PersistentManager や StandardSession の動作を追っていくことで問題を発見、修正できることがある。 Linux で tomcat 動作時のデバッグ手順 logging.properties を次のように修正する。 handlers = 1catalina.org.apache.juli.FileHandler, java.util.logging.ConsoleHandl
概要 apache+tomcat サーバ2台で負荷分散環境設定の記録。 要件 正常時は2台のtomcatサーバで負荷分散。 セッションは DB(postgresql) に格納する。 負荷分散時、stickysession 機能により、一ユーザのアクセスは可能な限り、1つの tomcat サーバに固定する。 1台あたりのtomcatサーバで扱うセッション数はなるべく少なくし、余計なメモリを消費しないようにする。 Apacheサーバ設定 /etc/httpd/conf.d/tomcat.conf を作成し、次のように記述した。 LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_balancer_module modules/mod_proxy_balancer.so LoadModule proxy_http_modul
Tomcat(4.1.24対応)のserver.xmlについての解説です。 このファイルを修正したら、Tomcatを再起動する必要があります。 Webアプリケーション単位の設定は、各WebアプリケーションのWEB-INFディレクトリにある web.xmlで行うことができます。 要素の親子関係 Server server.xmlのルートになる唯一の要素(Element)です。 className 使用するサーブレットコンテナクラスを指定します。 このクラスは org.apache.catalina.Server インターフェイスを実装している必要があります。 省略すると、org.apache.catalina.core.StandardServer がデフォルトで使用されます。 port このサーバがシャットダウンコマンドを受け取るために待機するポート番号を指定します。 shutdown こ
Tomcat(5.5対応)についての各種Tipsです。 新しく書いたものが上になるように並べてあります。 JSP2.0 での <jsp:param> について JSP2.0(Tomcat5以降) では、EL式というものが使えます。 例えば、今まで <%= request.getAttribute("userName") %> と記述していたものが、EL式を使うと ${userName} こんなに簡単になります。 これはリクエスト属性だけでなくセッション属性(さらにはアプリケーション属性)もサポートしているので 今までのように「この属性ってリクエストだったかなぁ、セッションだったかなぁ」と悩む必要がありません。 ただし、リクエストパラメータを使うには多少手を加える必要があります。 <%= request.getParameter("userName") %> これは、以下のように記述します。
サーブレットでは、HttpSessionインターフェイスを使ってセッション管理を行うことができますが、JSPでもセッションに関する設定を行うことができます。 JSPの<%@ page %>タグにはsessionという属性があり、この属性にtrue/falseを指定することで、セッションに関する設定を行います。 ■セッションの使用を宣言する <%@ page session="true" %> このJSPタグでセッションを使用することを宣言します。もし、サーブレットやほかのページですでに開始されているセッションがあれば、そのセッションオブジェクトを使用します。セッションがまだ開始されていなければ、ここで新たに開始し、セッションオブジェクトも作成します。 ※session属性の指定を省略すると、session="true"が設定されたものと見なされます。 ■セッションを使用しないことを宣言する
セッションオブジェクトに追加させるオブジェクトには、セッションオブジェクトとの関係に関連する次のような特定のイベントを通知することができます。 オブジェクトがセッションオブジェクトへ追加される、もしくはセッションオブジェクトから削除されるときは、この通知を受け取る際に、オブジェクトにjavax.http.HttpSessionBindingListenerインターフェイスを実装する必要があります。 JVM間での移動が発生したときや、外部記憶領域へのデータ保存や復元を行うときに、セッションオブジェクトは活性化(アクティブ)、または非活性化(パッシブ)します。この通知を受け取るには、オブジェクトにjavax.http.HttpSessionActivationListenerインターフェイスを実装する必要があります。 ■HttpSessionBindingListenerインターフェイス pu
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く