HOME»ネットワークスペシャリスト掲示板»令和元年 午後1 問2 設問2(2)
投稿する
令和元年 午後1 問2 設問2(2) [0480]
たけしさん(No.1)
HTTPリクエストの振り分け機能は問題文中[LBに関する検討]より、
ラウンドロビンを利用していると記載があります。
セッション維持機能による振り分けは問題文中[LBに関する検討]より、
・HTTPリクエストの送信元IPアドレスに基づく方式
・WebサーバとWebブラウザ間のCookieを利用する方式
のどちらかを採用する、との記載があります。
セッション維持機能で「HTTPリクエストの送信元IPアドレスに基づく方式」を使う場合、WAFを通ったリクエストは、すべて送信元IPアドレスが同じになるので「同じサーバにリクエストが振り分けられ、負荷が偏る」が答えだとは理解できました。
しかし、送信元IPアドレスに基づいてセッションを維持していると負荷が偏る以前に異なる利用者のセッションが紐づくなどもっと大きな問題があるのではないかと考えました。XFFヘッダを見ればリクエストは一意に識別できそうですが、そのような記載も問題文にはなく、、、
IPAの採点公表には「セッション自体に問題が発生すると誤って解凍した受験者が多かった。」というようにセッションに着眼するのは誤りとされています。
セッションの紐付きに言及する回答はなぜいけないのでしょうか?
ラウンドロビンを利用していると記載があります。
セッション維持機能による振り分けは問題文中[LBに関する検討]より、
・HTTPリクエストの送信元IPアドレスに基づく方式
・WebサーバとWebブラウザ間のCookieを利用する方式
のどちらかを採用する、との記載があります。
セッション維持機能で「HTTPリクエストの送信元IPアドレスに基づく方式」を使う場合、WAFを通ったリクエストは、すべて送信元IPアドレスが同じになるので「同じサーバにリクエストが振り分けられ、負荷が偏る」が答えだとは理解できました。
しかし、送信元IPアドレスに基づいてセッションを維持していると負荷が偏る以前に異なる利用者のセッションが紐づくなどもっと大きな問題があるのではないかと考えました。XFFヘッダを見ればリクエストは一意に識別できそうですが、そのような記載も問題文にはなく、、、
IPAの採点公表には「セッション自体に問題が発生すると誤って解凍した受験者が多かった。」というようにセッションに着眼するのは誤りとされています。
セッションの紐付きに言及する回答はなぜいけないのでしょうか?
2025.01.29 19:41
Nullpoさん(No.2)
適切な設計であれば、セッションIDが重複することは想定しません。
一般的なWebAPでも、通常の通信でセッションIDが衝突すれば誤動作してしまいます。
よく使われるセッションIDの長さは128bit(UUIDv4)程度ですが、通常の使用では衝突することはまず考えられません。
一般的なWebAPでも、通常の通信でセッションIDが衝突すれば誤動作してしまいます。
よく使われるセッションIDの長さは128bit(UUIDv4)程度ですが、通常の使用では衝突することはまず考えられません。
2025.02.02 14:56
納豆のたれさん(No.3)
質問者はセッションIDが重複することについて触れていないのに
どうして「セッションIDが重複することは想定しません。」になっちゃうのでしょう
論理が飛躍しているような気がします。
どうして「セッションIDが重複することは想定しません。」になっちゃうのでしょう
論理が飛躍しているような気がします。
2025.02.08 23:46