セッション ID の暗号化による脆弱性の問題への対処

casm173
CA Service Desk Manager (SDM)では、セッション ID を使用して、ユーザからの各リクエストを認証します。 このセッション ID は、Web ブラウザを介して送受信されます。 攻撃者は、セッション ID を自動生成することができ、その ID が SDM のアクティブな SID と一致すると、CA SDM への不正アクセスが可能になります。 攻撃者は、中間者攻撃によって SDM の Web URL をスニッフィングし、その URL を利用して SDM に不正にアクセスすることができます。 ユーザ リクエストの認証に暗号化されたセッション ID と Cookie を使用すると、SDM のパフォーマンスがわずかに低下することがあります。
暗号化されたセッション ID をサポートするために、以下の属性がオプション マネージャに追加されました。
  • use_encrypted_sid_and_cookie (オプション)
    暗号化されたセッション ID および Cookie を使用して、スプーフィングおよび中間者攻撃を防止します。 デフォルトでは、この属性は無効になっています。 CA SDM のセキュリティを強化するために、この属性を有効(はい)にすることができます。
  • force_browser_to_send_cookie_only_in_ssl_connection
    (オプション)
    SSL 接続がある場合にのみセッション ID(SID)Cookie が送信されるようにブラウザに強制します。 この属性は、
    use_encrypted_sid_and_cookie
    を有効(はい)にした場合にのみ適用されます。 デフォルトでは、この属性は無効になっています。 このフラグが有効になっている場合は、SSL 接続を介してのみ CA SDM にアクセスできます。
    詳細については、「オプション マネージャ」の「セキュリティ オプション」を参照してください。