ASPのセッションCOOKIEをsecureにする方法

| | コメント(0) | トラックバック(0)

最近 IIS 5.0 + ASP (.NETじゃない)をいじってます。

セッション変数を使いたいのですが、セッションハイジャックの事を考え、セッションCOOKIEにsecure属性を付けたいと思いました。
その方法を調べました。

IIS 5.0での対応

○ サイト1でsecureなASPのセッションCOOKIEを発行するようにする方法

Windows2000の最新のSP適用後、以下のコマンドを実行します。

c:\> cd c:\inetpub\AdminScripts
c:\Inetpub\AdminScripts> cscript adsutil.vbs set w3svc/1/AspKeepSessionIDSecure 1

パス「w3svc/1/AspKeepSessionIDSecure」の中にある「1」が「サイト1」を表しています。

Adsutil.vbs スクリプトは、CScript を使用します。
デフォルトのスクリプティング ホストとして Cscript.exe を登録しておくと、スクリプトの前に Cscript.exe と入力しなくてもスクリプトを実行できます。

近いうちに実際に試験してみなくては。(まだやってない)

○ 現在の設定を表示する

「GET」コマンドを使うと選択されたパラメータを表示します。
このコマンドで現在の状態を取得できるのかと思ったのですが、うまくいきませんでした。

c:\Inetpub\AdminScripts> CScript.exe adsutil.vbs GET w3svc/1/AspKeepSessionIDSecure
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.
 
The parameter "AspKeepSessionIDSecure" is not set at this node.

ちなみに、パスに「w3svc/1/ServerComment」や「W3SVC/1/ServerBindings」を指定すると以下の結果が返ってきたので、使い方はあってるようです。

N番目のサーバがどのバーチャルホストになってるかの確認は、パスに「w3svc/N/ServerComment」を指定してあげるといいでしょう。

C:\Inetpub\AdminScripts> CScript adsutil.vbs GET w3svc/1/ServerComment
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.
 
ServerComment                   : (STRING) "既定の Web サイト"
C:\Inetpub\AdminScripts> CScript.exe adsutil.vbs GET W3SVC/1/ServerBindings
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.
 
ServerBindings                  : (LIST)  (1 Items)
  ":80:"

その他にも色々コマンドがあります。
いくつか例を示します。

パス「W3SVC」のすべてのパラメータをデータを含めずにパスのみを列挙します。

c:\Inetpub\AdminScripts> CScript.exe adsutil.vbs ENUM /P W3SVC
Microsoft (R) Windows Script Host Version 5.6
Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.
 
[/W3SVC/Info]
[/W3SVC/1]
[/W3SVC/Filters]

パス「W3SVC」のすべてのパラメータを列挙します。

c:\Inetpub\AdminScripts> CScript.exe adsutil.vbs ENUM W3SVC
(略)

すべてのパラメータを列挙します。
かなり沢山の情報が出力されます。

c:\Inetpub\AdminScripts> CScript.exe adsutil.vbs ENUM_ALL
(略)

リンク

・Cookies Are Not Marked as SSL-Secured in IIS (英語情報)
http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q274/1/49.ASP&NoWebContent=1&NoWebContent=1

・IIS では Cookie が SSL-Secure としてマークされない (日本語: 内容は上と同じ)
http://support.microsoft.com/default.aspx?scid=kb;ja;274149

・セッションを使用する Web アプリケーションの安全性
http://lightly.plala.jp/memo/session.html
セッションの説明などもわかりやすいです

トラックバック(0)

このブログ記事を参照しているブログ一覧: ASPのセッションCOOKIEをsecureにする方法

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/155

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2003年12月17日 01:30に書いたブログ記事です。

ひとつ前のブログ記事は「Windowsでのプロセスの自動実行方法」です。

次のブログ記事は「RPMファイルを作成する」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261