[Seasar-user:7187] Re: セッション情報のurlへの埋め込み

[oshima]

ひがさま

おおしまです。
早速のご回答有り難うございました。

すみません。
問題を誤ってました。ロードバランサーで振り分けのキーではありませ 
んでした。
以前使っていたロードバランサーのsslアクセラレータが 
Cookieを
復号してくれなくて、サーバー側でセッションを取れないという現象
に遭遇したことがあり、やむを得ずURL rewriting を使ったこと 
があり
同様の現象に遭遇した場合の担保のためにお聞きしました。

> PCでURLにセッションIDを埋め込むのは、セッションハ 
> イジャックの
> 危険性が増えるので、できる限り避けたほうがよいと思います。
ご指摘有り難うございます。
これは理解しています。


> 基本的にこの辺の仕様は、Servlet APIで決められているので、
> アプリケーションサーバ任せです。
WebContainerはtomcatでテストしていますのでtomcatの 
Contextタグ
のcookies="false"でURL rewritingが効くことを確認しま 
した。

どうも有り難うございました。

以上




On 2007/04/11, at 15:36, Yasuo Higa wrote:

> ひがです。
>>
>> おおしまです。
>>
>> 早速のご回答有り難うございます。
>> レスポンスが早いですね。
>>
>>> クッキーが使えないブラウザ(たとえば携帯)でアクセス
>>> すると
>>> 自動的にクッキーにセッションidが埋め込まれるはずです。
>>
>> 開発予定のシステムでは、PCサイトもありurl埋め込みの
>> jsessionidを
>> ロードバランサーで振り分けのキーにします。
>> つきましては、cookieが使える使えないにかかわらずurl
>> 埋め込みにしたいのですが
>> 設定で常にurlに埋め込む方法はありますか？
>>
> 基本的にこの辺の仕様は、Servlet APIで決められているので、
> アプリケーションサーバ任せです。
> いまどきのロードバランサーなら、クッキーも
> みて振り分けてくれるのではないでしょうか。
>
> PCでURLにセッションIDを埋め込むのは、セッションハ 
> イジャックの
> 危険性が増えるので、できる限り避けたほうがよいと思います。
>
> --
> Yasuo Higa
> [E-MAIL ADDRESS DELETED]
> _______________________________________________
> Seasar-user mailing list
> [E-MAIL ADDRESS DELETED]
> https://ml.seasar.org/mailman/listinfo/seasar-user
>