#MOC [[🗃️セッション]]を固定して、他のユーザーの情報扱うことができる攻撃。ユーザーのsession_idを攻撃者のsession_idに書き換えて、攻撃者のsession_idをブラウザで使うことになる。これによって、攻撃者はユーザーの情報を閲覧することができてしまう。 ![[20240606_🗃️セッションフィクセーション.png]] 対応策は >最も効果的な対応策は、ログイン成功後に古いセッションを無効にし、**新しいセッションIDを発行する**こと ## 📚ドキュメント - [Rails セキュリティガイド - Railsガイド](https://railsguides.jp/security.html#%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E5%9B%BA%E5%AE%9A%E6%94%BB%E6%92%83) ## 📖ノウハウ