HTTP セッション識別子をローテーションする

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:1分

    • glide.ui.rotate_sessions プロパティを使用して HTTP セッション識別子のローテーションを有効にし、セキュリティの脆弱性を軽減します。

    glide.ui.rotate_sessionsシステムプロパティが推奨値の true に設定されていない場合、セッションの識別情報が保持され、アプリケーション間でローテーションされません。

    プロパティ glide.ui.rotate_sessionstrue に設定されていることを確認します。

    詳細情報

    属性 説明
    構成名 glide.ui.rotate_sessions
    構成タイプ システムプロパティ (/sys_properties_list.do)
    データタイプ ブーリアン
    推奨値 true
    デフォルト値 <なし>
    フォールバック値 true
    カテゴリ セッション管理
    セキュリティリスク
    • 重大度スコア:8.8
    • CVSS 評価:高
    • セキュリティリスクの詳細:これにより、攻撃者がセッション識別子を再利用して不正アクセスを取得する可能性があるため、セッションハイジャックのリスクが高まります。
    機能への影響 この修正では、ユーザーが非認証ページから認証済みページに移動したときに SessionID が変更されました。
    • ユーザーの初回ログイン時に、または何らかの目的でプロキシを使用したり、SessionID をハードコーディングしたりすると、機能に影響を与える可能性があります。
    • Single Sign-on 認証に SAML 2.0 プラグインを使用している場合、インスタンスと ID プロバイダーの間で行われるセッション情報の共有が妨げられる可能性があります。そのような場合、このプロパティを false に設定できます。
    依存関係と前提条件 なし